IBM OpenPages GRC Platform Version 7.3.0: L...

IBM OpenPages GRC PlatformVersion 7.3.0

Lösungen

��

HinweisVor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter„Bemerkungen” auf Seite 115 gelesen werden.

Produktinformation

Dieses Dokument bezieht sich auf IBM OpenPages GRC Platform Version 7.3.0 und gegebenenfalls auch auf nach-folgende Releases.

Licensed Materials - Property of IBM Corporation.

© Copyright IBM Corporation, 2003, 2016.

Diese Veröffentlichung ist eine Übersetzung des HandbuchsIBM OpenPages GRC Platform, Version 7.3.0, Solutions Guide,herausgegeben von International Business Machines Corporation, USA

© Copyright International Business Machines Corporation 2003, 2016

Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiznicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.

Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und ver-fügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.

Änderung des Textes bleibt vorbehalten.

Herausgegeben von:TSC GermanyKst. 2877November 2016

Inhaltsverzeichnis

Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viiObjekttyplizenzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viiOpenPages Financial Controls Management . . . . . . . . . . . . . . . . . . . . . . . . viiiOpenPages Operational Risk Management. . . . . . . . . . . . . . . . . . . . . . . . . viii

Algo Risk Content on Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixOpenPages Policy and Compliance Management . . . . . . . . . . . . . . . . . . . . . . . xOpenPages IT Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiOpenPages Internal Audit Management . . . . . . . . . . . . . . . . . . . . . . . . . . xiProblemmanagement und Korrektur . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiKey Risk Indicators (KRIs) und Key Performance Indicators (KPIs) . . . . . . . . . . . . . . . . xivOpenPages Vendor Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Kapitel 1. Neuerungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Neue Features in Version 7.3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Neue Features in Version 7.2.0.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Neue Features in Version 7.2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Neue Features in Version 7.1.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Neue Features in Version 7.0.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Kapitel 2. Objekttypen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Zuordnung der Objektnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Beschreibung der Objekttypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Unterkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Kapitel 3. Berechnete Felder . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Kapitel 4. Hilfsprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Hilfsprogramm für den Szenarioabschluss . . . . . . . . . . . . . . . . . . . . . . . . . 42Dienstprogramm für die KRI-Wert-Erstellung . . . . . . . . . . . . . . . . . . . . . . . . 42Dienstprogramm für die KPI-Wert-Erstellung . . . . . . . . . . . . . . . . . . . . . . . . 43Hilfsprogramm für den RCSA-Abschluss . . . . . . . . . . . . . . . . . . . . . . . . . 43Hilfsprogramm für die RCSA-Prozessausrichtung . . . . . . . . . . . . . . . . . . . . . . 44Hilfsprogramm für das Dienstprogramm für den RCSA-Start . . . . . . . . . . . . . . . . . . . 44Hilfsprogramm für die Standortsynchronisation . . . . . . . . . . . . . . . . . . . . . . . 45Richtlinienanzeigefunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Hilfsprogramm für die Ansicht von Richtlinienvergleichen . . . . . . . . . . . . . . . . . . . 46Hilfsprogramm zum Entsperren von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . 46Hilfsprogramm für das Veröffentlichen von Stapelbenachrichtigungen . . . . . . . . . . . . . . . . 47Hilfsprogramm für die Ansicht zum Richtlinienbewusstsein . . . . . . . . . . . . . . . . . . . 47Hilfsprogramm für den Bericht zur Attestierungserstellung . . . . . . . . . . . . . . . . . . . 48Hilfsprogramm für das Abrufen von Basiswerten. . . . . . . . . . . . . . . . . . . . . . . 48Hilfsprogramm für die Erstellung von Ressourcenlinks . . . . . . . . . . . . . . . . . . . . . 48Hilfsprogramm zum Schließen von Audits . . . . . . . . . . . . . . . . . . . . . . . . . 48Hilfsprogramm für das Hinzufügen oder Ändern von Plänen . . . . . . . . . . . . . . . . . . 49Hilfsprogramm für den Bericht zum Eintrag in die Zeiterfassungsliste. . . . . . . . . . . . . . . . 49Hilfsprogramm für den Bericht zum Administratoreintrag in die Zeiterfassungsliste . . . . . . . . . . . 50

Kapitel 5. Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . . . . . 51Benachrichtigung über Problem- und Aktionsbulletin . . . . . . . . . . . . . . . . . . . . . 52Benachrichtigung für KPI-Reminder . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Benachrichtigung über KPI-Übertretungen . . . . . . . . . . . . . . . . . . . . . . . . . 52Benachrichtigung für KRI-Reminder . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Benachrichtigung über KRI-Übertretungen . . . . . . . . . . . . . . . . . . . . . . . . . 52Benachrichtigung zu Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

iii

Benachrichtigung zu Fragebogenbeurteilungen . . . . . . . . . . . . . . . . . . . . . . . 53

Kapitel 6. Berichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Risikobeurteilungsberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Risikoberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Kontrollberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Testberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Visualisierungsberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Indikatorberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Berichte zu Verlustereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Problemmanagement- und Korrekturberichte . . . . . . . . . . . . . . . . . . . . . . . . 61Szenarioanalyseberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Kapitalmodellierungsberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Behördliche Compliance-Berichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Berichte zu IT-Vermögenswerten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63IT-Compliance-Berichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Auditmanagementberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Kapitel 7. Auslöser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Neue Lebenszyklusauslöser in Version 7.2.0.1 . . . . . . . . . . . . . . . . . . . . . . . . 69Objekttypen mit Auslösern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Auslöser für Problemmanagement und Korrektur . . . . . . . . . . . . . . . . . . . . . . 71

Auslöser für den Problemlebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . 72Lebenszyklussauslöser für Probleme (ab Version 7.2.0.1) . . . . . . . . . . . . . . . . . . . . 73Auslöser für die Selbstbeurteilungen von Risiken und Kontrollen . . . . . . . . . . . . . . . . . 75Visualisierungsauslöser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Auslöser für KRI- und KPI-Lebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . 75Auslöser für den Verlustereignislebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . 76

Auslöser für die Verlustereignisberechnung. . . . . . . . . . . . . . . . . . . . . . . . 76Auslöser für die Verlustereignis-Genehmigungsübergabe . . . . . . . . . . . . . . . . . . . 77Auslöser 'Verlustereignis - Genehmigung' . . . . . . . . . . . . . . . . . . . . . . . . 77

Lebenszyklussauslöser für Verlustereignisse (ab Version 7.2.0.1) . . . . . . . . . . . . . . . . . . 77Lebenszyklussauslöser für Kontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . 79Auslöser für den Vorfalllebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Auslöser für den Fragebogenbeurteilungslebenszyklus . . . . . . . . . . . . . . . . . . . . . 82Auslöser für Richtlinienimport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Auslöser zum Sperren von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . 85Auslöser für die Berechnungen von 'Audit - Risikobewertung' . . . . . . . . . . . . . . . . . . 85Auslöser zum automatischen Schließen von Audits . . . . . . . . . . . . . . . . . . . . . . 85

Kapitel 8. Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87OpenPages RCM-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87OpenPages MRG-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87OpenPages FCM-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88OpenPages ORM-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88ORM Operational Risk Team-Profil . . . . . . . . . . . . . . . . . . . . . . . . . . . 88ORM Business User-Profil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89ORM Simplified User-Profil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90OpenPages FIRST Loss-Profil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90OpenPages PCM-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90OpenPages ITG-Masterprofil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91OpenPages IAM-Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91OpenPages VRM Masterprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Gefilterte Startseitenlisten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Aktivitätsansichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Rasteransichten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Kapitel 9. Rollenvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Berechtigungen für Rollenvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Von Rollenvorlagen zugeordnete Objekttypberechtigungen . . . . . . . . . . . . . . . . . . . 107

iv IBM OpenPages GRC Platform Version 7.3.0: Lösungen

Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Inhaltsverzeichnis v

vi IBM OpenPages GRC Platform Version 7.3.0: Lösungen

Einführung

IBM® OpenPages GRC Platform enthält Lösungen wie IBM OpenPages FinancialControls Management und IBM OpenPages Operational Risk Management.

Zielgruppe

Das Dokument IBM® OpenPages® GRC Platform - Lösungen richtet sich an Benutzer,die mit den von OpenPages GRC Platform bereitgestellten Lösungen arbeiten. DerInhalt beschreibt die Objekttypen für die einzelnen Lösungen. Darüber hinaus wer-den Unterkomponenten, berechnete Felder, Hilfsprogramme, Benachrichtigungen,Berichte, Auslöser, Profile und Rollenvorlagen ermittelt, die von der jeweiligen Lö-sung unterstützt werden.

Suchen von Informationen

Zugriff auf die Produktdokumentation im Web, einschließlich der gesamten über-setzten Dokumentation, besteht über das IBM Knowledge Center (http://www.ibm.com/support/knowledgecenter).

Funktionen zur behindertengerechten Bedienung

Funktionen zur behindertengerechten Bedienung (Eingabehilfefunktionen) unter-stützen Benutzer mit körperlichen Behinderungen, wie z. B. eingeschränkter Bewe-gungsfähigkeit oder Sehkraft, beim Einsatz von Informationstechnologieprodukten.Die OpenPages GRC Platform-Dokumentation verfügt über Funktionen zur behin-dertengerechten Bedienung. PDF-Dokumente sind ergänzende Dokumente undenthalten keine Funktionen zur behindertengerechten Bedienung.

Zukunftsgerichtete Aussagen

In dieser Dokumentation wird die Funktionalität des Produkts zum gegenwärtigenZeitpunkt beschrieben. Möglicherweise finden sich Verweise auf Funktionen, diederzeit nicht verfügbar sind. Dies bedeutet jedoch nicht, dass die betreffendenFunktionen in Zukunft zwangsläufig zur Verfügung stehen werden. Solche Verwei-se stellen keinerlei Verpflichtung, Zusage oder rechtliche Verbindlichkeit dar, Mate-rial, Code oder Funktionen bereitzustellen. Die Entwicklung und Bereitstellung vonFeatures und Funktionen sowie der Zeitpunkt hierfür liegen ausschließlich im Er-messen von IBM.

ObjekttyplizenzierungSie besitzen eine Lizenz für die Verwendung der Objekttypen für jede IBM Open-Pages GRC Platform-Lösung, das Sie erworben haben.

Die vollständige Liste der Objekttypen, die im Lieferumfang jeder Lösung enthal-ten sind, finden Sie in Kapitel 2, „Objekttypen”, auf Seite 7. Die Verwendung ande-rer Objekttypen ist ohne vorherige schriftliche Genehmigung von IBM nicht zuläs-sig.

vii

http://www.ibm.com/support/knowledgecenter

OpenPages Financial Controls ManagementMit IBM OpenPages Financial Controls Management können der Zeitaufwand unddie Kosten reduziert werden, die mit der laufenden Einhaltung von Regelungender Finanzberichterstattung verbunden sind.

IBM OpenPages Financial Controls Management kombiniert ein leistungsfähigesDokument- und Prozessmanagement mit den umfassenden interaktiven Berichter-stellungsfunktionen in einer flexiblen, anpassbaren und benutzerfreundlichen Um-gebung. Diese Funktion ermöglicht CEOs, CFOs, Managern, unabhängigen Audito-ren und Auditkommittees, alle Aktivitäten auf vereinfachte und effiziente Weisezur Einhaltung von Regelungen der Finanzberichterstattung durchzuführen.

Benutzer können den Status ihres Dokumentationsprojekts zu Finanzkontrollen an-zeigen und ein sicheres Repository zum Speichern der internen Kontrolldokumen-tation nutzen.

Die wichtigsten Funktionen sind:v Ein Financial Controls Management-Repository, das die Prozesse, Risiken und

Kontrollen in einer Viele-zu-viele-Beziehung und in einer gemeinsam genutztenBeziehung auf mehreren Ebenen logisch darstellt sowie eine Dateianhangsfunkti-on und Aktionspläne für Prozesse, Risiken, Kontrollen und Tests auf allen Ebe-nen ermöglicht.

v Flexible Automatisierung, die eine Benachrichtigung und einen Abschluss derAktivitäten des Finanzkontrollmanagements bereitstellt, z. B. Designentwurf, be-triebliche Prüfung und Zertifizierung.

v Berichterstellung, Überwachung und Analyse.

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Detailszur FCM-Lösung.

OpenPages Operational Risk ManagementIBM OpenPages Operational Risk Management kombiniert das Dokument- undProzessmanagement mit einem Überwachungs- und Entscheidungshilfesystem.IBM OpenPages Operational Risk Management bietet Unternehmen die Möglich-keit, Risiken auf einfache und effiziente Weise zu analysieren, zu verwalten und zubegrenzen.

Mithilfe von IBM OpenPages Operational Risk Management kann der Prozess derMessung und Überwachung operationeller Risiken automatisiert werden. Alle Risi-kodaten, einschließlich Selbstbeurteilungen von Risiken und Kontrollen, Verluster-eignisse, Szenarioanalysen, externe Verluste und Key Risk Indicators (KRIs), wer-den in einer einzigen integrierten Lösung zusammengefasst.

IBM OpenPages Financial Controls Management enthält die folgenden Schlüssel-funktionen:v Verlustereignisse zum Verfolgen, Bewerten und Verwalten interner und externer

Ereignisse, die unter Umständen zu Betriebsverlusten führen.v Selbstbeurteilungen von Risiken und Kontrollen (RCSA) zum Identifizieren,

Messen und Reduzieren von Risiken.v Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs), mit denen

Systemleistungsmetriken verfolgt werden können, um eine Risikobedingungoder einen Trend anzuzeigen.

viii IBM OpenPages GRC Platform Version 7.3.0: Lösungen

v Szenarioanalyse, eine Beurteilungsmethode, die zum Identifizieren und Messenbestimmter Risiken (insbesondere selten auftretende Risiken mit schwerwiegen-den Folgen) verwendet wird.

v Externe Verlustereignisse zum Importieren von Verlustdaten von IBM Algo RiskContent on Cloud-, ORX- und ORIC-Verlustdatenbanken.

v Problemmanagement und Korrektur (IMR).v Kapitalmodellierung, die die Möglichkeit bietet, Kapitalmodellierungsinformatio-

nen in OpenPages zu speichern.v Berichterstellung, Überwachung und Analyse

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Detailszur ORM-Lösung.

Algo Risk Content on CloudDie IBM Algo Risk Content on Cloud-Datenbank ist eine Sammlung von externen,öffentlichen Verlustereignissen operationeller Risiken in Form von Risikofallstudi-en.

Algo Risk Content on Cloud-Ereignisse werden im Finanzwesen eingesetzt undenthalten Informationen von Ereignissen der letzten 20 Jahre, die in 13 Stichworthi-erarchien indexiert wurden, einschließlich der Basel-Kategorie und des Basel-Ge-schäftsbereichs. Andere Hierarchien enthalten Kontrollfaktoren, Ereignisauslöser,Typen der Geschäftseinheit und Entitätstypen. Die Algo Risk Content on Cloud-Fälle umfassen detaillierte Beschreibungen, die das Ereignis aufschlüsseln, um sodie Fehlerursache zu analysieren sowie die Aufschlüsselung von Kontrollen, diegewonnenen Informationen (Lessons Learned), die Managementreaktionen und dieNachwirkungen des Ereignisses zu ermitteln. Ereignisse können außerdem Ab-schnitte mit unterstützenden Informationen beinhalten, die einen Zeitplan für dasEreignis, relevante Informationen zur betreffenden Institution und weitere Informa-tionen zu Verlusteinflüssen bereitstellen.

Die meisten Ereignisse in Algo Risk Content on Cloud erfassen quantitative Infor-mationen sowie detaillierte qualitative Analyseinformationen. Diese quantitativenInformationen liegen in Form von Verlustbeträgen vor, die zum Zeitpunkt des Er-eignisses erfasst werden.

Algo Risk Content on Cloud bietet ein Abonnement eines Add-ons an, das täglichmit der Algo Risk Content on Cloud-Datenbank aktualisiert wird (Format ist mitder FastMap-Funktion kompatibel). Kunden von IBM OpenPages GRC Platformkönnen das Algo Risk Content on Cloud FastMap-Daten-Add-on verwenden, umEndbenutzern Zugriff auf Algo Risk Content on Cloud-Fallstudien in der OpenPa-ges GRC Platform-Anwendung zu gewähren. Nachdem die Daten in OpenPagesGRC Platform geladen wurden, können die Endbenutzer die Algo Risk Content onCloud-Fallstudien durchsuchen und Objekten wie 'Szenarioanalyse', 'Risiko' und'Verlustereignisse' zuordnen. Wenden Sie sich an Ihren IBM Kundenbeauftragten,um zu erfahren, wo Sie das Algo Risk Content on Cloud-Daten-Add-on für Open-Pages GRC Platform erhalten können.

Wenn Sie den Algo Risk Content on Cloud-Datenbankservice abonnieren, stelltAlgo Risk Content on Cloud eine kompatible FastMap-Datei bereit, um ein prob-lemloses Laden der Algo Risk Content on Cloud-Daten in IBM OpenPages Operati-onal Risk Management zu ermöglichen.

Einführung ix

IBM OpenPages Operational Risk Management enthält standardmäßig das Open-Pages FIRST Loss-Profil. Benutzer mit diesem Profil können über die IBM OpenPa-ges FastMap-Funktion FIRST-Verlustdaten laden. Weitere Informationen zu diesemProfil finden Sie in „OpenPages FIRST Loss-Profil” auf Seite 90.

OpenPages Policy and Compliance ManagementIBM OpenPages Policy and Compliance Management ist eine Compliance-Manage-ment-Softwarelösung für Unternehmen, mit der die Kosten, Komplexität und um-ständliche Einhaltung vieler gesetzlicher Vorschriften und Unternehmensrichtlinienreduziert werden.

IBM OpenPages Policy and Compliance Management ermöglicht es Unternehmen,Compliance-Aktivitäten über einen Satz von integrierten Funktionen zu verwaltenund zu überwachen. Beispiel:v Gesetzliche Bibliotheken und Änderungsmanagementv Risiko- und Kontrollbeurteilungenv Richtlinienmanagement, einschließlich Richtlinienerstellung, Prüfung und Ge-

nehmigung sowie Richtlinienbewusstseinv Kontrolltests und Problemkorrekturv Management der behördlichen Interaktionv Vorfall-Überwachungv Key Performance Indicatorsv Berichterstellung, Überwachung und Analyse

In IBM OpenPages Policy and Compliance Management unterstützt IBM OpenPa-ges GRC Platform die folgenden drei Ansätze:

DatacentricRichtlinienattribute werden als Metadaten im Objekt 'Richtlinie' gespei-chert. Der Richtlinien- und Prozedureninhalt wird in Richtlinienanzeige-funktion erstellt, gespeichert, bearbeitet und geprüft. Die Verfolgen-von-Änderungen-Funktion mit roten Linien in Entwurfsiterationen wird nichtunterstützt.

DocucentricRichtlinienattribute werden als Metadaten im Objekt 'Richtlinie' gespei-chert. Der Richtlinien- und Prozedureninhalt außerhalb von OpenPagesGRC Platform erstellt und das gesamte Dokument wird dem Objekt 'Richt-linie' angehängt. Der Richtlinien- und Prozedureninhalt wird nie in Open-Pages GRC Platform importiert oder dort gespeichert.

HybridRichtlinienattribute werden als Metadaten im Objekt 'Richtlinie' gespei-chert. Der Richtlinien- und Prozedureninhalt wird in Microsoft Word-Do-kumenten erstellt und bearbeitet und anschließend in OpenPages GRCPlatform importiert und dort gespeichert. Die in Microsoft Word verfügba-re Verfolgen-von-Änderungen-Funktion wird für das Eingeben von Ände-rungen mit roten Linien in Entwurfsiterationen verwendet.

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Detailszur PCM-Lösung.

x IBM OpenPages GRC Platform Version 7.3.0: Lösungen

OpenPages IT GovernanceIBM OpenPages IT Governance richtet IT-Services, Risiken und Richtlinien an denGeschäftsinitiativen, an der Strategie und den Betriebsstandards des Unternehmensaus.

Mit IBM OpenPages IT Governance können Sie interne IT-Kontrollen und -Risikengemäß den unterstützten Geschäftsprozessen verwalten. Darüber hinaus werdenmehrere IT-Risiko- und Compliance-Silos miteinander vereint, um die Sichtbarkeitzu verbessern, eine bessere Entscheidungsfindung zu unterstützen und letztendlichdie Unternehmensleistung zu erhöhen.

Die wichtigsten Funktionen sind:v Compliance der IT-Bestimmungen und Richtlinienv Risiko- und Kontrollbeurteilungenv Kontrolltests und Problemkorrekturv IT-Ressourcen-Managementv Vorfall-Überwachungv Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs)v Berichterstellung, Überwachung und Analyse

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Detailszur ITG-Lösung.

OpenPages Internal Audit ManagementIBM OpenPages Internal Audit Management stellt internen Auditoren eine eindeu-tig konfigurierte Ansicht der unternehmensweiten Governance, Risiken und Com-pliance (GRC) bereit, sodass das Audit ergänzt wird und neben weiteren Risiko-und Compliance-Management-Aktivitäten koexistieren kann.

IBM OpenPages Internal Audit Management ist vollständig in das Financial Cont-rols Management, in die IT-Governance sowie in die Richtlinien- und Compliance-Bemühungen und betrieblichen Risikomanagementprogramme integriert. Das inter-ne Auditteam kann als vollständig integrierter Parten mit Stakeholdern unabhängigarbeiten, je nach den entsprechenden Bedürfnissen der Auditabteilung oder je nachdem durchgeführten Audit.

Die wichtigsten Funktionen sind:v Möglichkeit der Risikoeinstufung im Audituniversum, konfiguriert gemäß Ihrer

Auditmethodik– Leistungsvolle Unterstützung Ihrer Risikobeurteilungsmethode– Vollständige Berichterstattung im gesamten Audituniversum

v Möglichkeit der Definition, Planung, Ausführung und Berichterstellung für un-ternehmensweite Audits– Verfolgen und Verwalten von Audits, Auditabschnitten, Arbeitspapieren, Au-

ditressourcenanforderungen und Zuordnungen– Automatisierung von Operationen über vollständig konfigurierbare Berichter-

stellungen und Workflows.v Bereitstellung einer unabhängigen Zusicherung des Geschäfts oder Arbeit als in-

tegrierten Teil der GRC-Bemühungen– Unabhängiges Einhalte der GRC-Bemühungen des Managements

Einführung xi

– Steuerung des Zugriffs auf vertrauliche Audits, Felder und nur für Audits be-stimmte Ansichten

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Detailszur IAM-Lösung.

Problemmanagement und KorrekturDer IMR-Prozess (Issue Management and Remediation, Problemmanagement undKorrektur) ist eine wichtige Komponente in jedem Risikomanagementprogramm.Ein leistungsfähiges IMR-Framework stellt dem Risikomanagementprogramm, dases unterstützt, Bewusstsein, Validierung und Transparenz bereit.

Bei einer erfolgreichen Implementierung erhalten Sie einen Mehrwert bei gleichzei-tig geringen Kosten und einen grundlegenden Anreiz, Ihr Risikomanagementpro-gramm kontinuierlich zu verbessern. Mit einem wirksamen IMR-Framework wer-den identifizierte Probleme effektiv dokumentiert, überwacht, behoben undgeprüft.

Probleme sind Ereignisse, die sich negativ auf die Funktionalität auswirken, Risi-ken zu verwalten und zu dokumentieren. Diese Probleme werden anhand des do-kumentierten IMR-Frameworks identifiziert. Die Probleme können Objekten imFramework zugeordnet werden und weisen im Allgemeinen Attribute auf, wie z.B. Eigentumsrecht, Planung oder Korrekturstatus, die den relevanten Bereich iden-tifizieren. Ein Problem kann mehreren übergeordneten Elementen zugeordnet wer-den. Wenn ein Problem beispielsweise durch ein Verlustereignis entdeckt wird,kann das Problem dem Verlustereignis, dem aufgetretenen Risiko und allen fehlge-schlagenen dokumentierten Kontrollen zugeordnet werden.

Hauptaktivitäten des IMR-Prozesses:1. Erstellung und Zuweisung des Problems2. Erstellung und Zuweisung der Aktion3. Durchführung der Korrektur4. Problemabschluss5. Berichterstellung

Erstellung und Zuweisung des Problems

Probleme treten als Folge verschiedener Aktivitäten des Risikomanagements auf, z.B. als Verlustereignis, KRI-Übertretungsstatus oder Identifizierung einer Kontroll-schwachstelle. Der Benutzer kann während dieser Aktivitäten ein Problem in IBMOpenPages GRC Platform erstellen.

Die Probleme werden über die Standardbenutzerschnittstelle hinzugefügt undnicht automatisch als Ergebnis eines kausalen Faktors erstellt.

Bei der Erstellung wird der Status des Problems auf 'Geöffnet' festgelegt. Der Er-steller muss dann einen Wert in das aktuelle Feld für das Fälligkeitsdatum einge-ben. Beim erstmaligen Speichern des Problems wird das aktuelle Fälligkeitsdatumin ein schreibgeschütztes Feld kopiert, das das ursprüngliche Fälligkeitsdatum ent-hält. Sobald ein Problem erstellt wurde, wird der Problemverantwortliche (dernicht der Ersteller des Problems ist) per E-Mail benachrichtigt.

xii IBM OpenPages GRC Platform Version 7.3.0: Lösungen

Erstellung und Zuweisung der Aktion

Es ist die Zuständigkeit des Problemverantwortlichen, die entsprechenden Aktio-nen zu erstellen und aufzuzeichnen, um das ermittelte Problem zu lösen. Aktionenwerden über die Standardbenutzerschnittstelle manuell erstellt. Folgende Datenwerden für ein Aktionselement erfasst: Verantwortlicher, Startdatum, Fälligkeitsda-tum, tatsächliches Abschlussdatum, Status (schreibgeschützt) und Kommentare.

Die für eine Aktion verantwortliche Person wird über 'Eigene offene Aktionsele-mente' oder per E-Mail informiert, dass eine Aktion abgeschlossen werden muss.

Durchführung der Korrektur

Nach der Benachrichtigung schließt der Verantwortliche die zugewiesene Aktionab. Einige Aktionen nehmen etwas Zeit in Anspruch, daher kann die für die Akti-on verantwortliche Person im Feld Kommentar ihren Fortschritt dokumentieren.

Wenn die Aktion abgeschlossen ist, legt der Verantwortliche das Feld zum Einrei-chen des Abschlusses auf Ja fest. Daraufhin wird das Feld des Problemverant-wortlichen vom übergeordneten Problem zur Aktion kopiert und der Aktionsstatusauf Warten auf Genehmigung festgelegt.

Durch die Änderung des Status wird die Aktion auf der Startseite des Problemver-antwortlichen zur Prüfung und Genehmigung angezeigt.

Problemabschluss

Der Problemverantwortliche greift über die Startseite oder über eine E-Mail-Nach-richt auf eine Liste mit Aktionen zu, die genehmigt und geschlossen werden sollen.

Wenn die Aktion abgelehnt und gespeichert wird, wechselt der Status zurück zu'Geöffnet' und die Aktion wird wieder dem Aktionsverantwortlichen zugewiesen.Wenn die Aktion zum Schließen akzeptiert und gespeichert wird, ändert sich derAktionsstatus zu 'Geschlossen' und das Feld Abschlussdatum erhält das aktuelleDatum.

Wenn alle Aktionen abgeschlossen sind, prüft der Problemverantwortliche das Pro-blem und aktualisiert den Status zu Geschlossen.

Berichterstellung

Allen Benutzern steht eine Reihe von Problem- und Aktionsberichten zur Verfü-gung. Darüber hinaus sind alle E-Mail-Benachrichtigungen im konsolidierten Prob-lem- und Aktionsbulletin mit den folgenden Informationen enthalten:v Probleme, die dem Empfänger in den letzten X Tagen zugeordnet wurden.v Aktionen, die dem Empfänger in den letzten X Tagen zugeordnet wurden.v Probleme, deren Schließung in den nächsten X Tagen fällig ist.v Aktionen, deren Schließung in den nächsten X Tagen fällig ist.v Überfällige Probleme.v Überfällige Aktionen.v Aktionen mit ausstehenden Schließungsgenehmigungen.

Weitere Informationen finden Sie im Dokument OpenPages GRC Platform - Lösungen- Details zum Problemmanagement und zur Korrektur.

Einführung xiii

Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs)Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs) stehen für diefolgenden Lösungen zur Verfügung: IBM OpenPages Operational Risk Manage-ment, IBM OpenPages Operational Risk Management und IBM OpenPages ITGovernance.

Die Hauptphasen des KRI- bzw. KPI-Lebenszyklus lauten Definition, Werterstel-lung, Werterfassung und Berichterstellung. Zur Unterstützung eines Metrikverwal-tungsprogramms steht in diesen Phasen die folgende Automation sowohl für KRIsals auch für KPIs zur Verfügung:

IndikatordefinitionIndikatoren können völlig neu erstellt werden oder auf der Basis von Stan-dardindikatoren in einer Indikatorbibliothek.

WerterstellungKRI- und KPI-Wertobjekte werden automatisch vom Werterstellungsdienst-programm erstellt, das normalerweise zeitgesteuert ausgeführt wird. DasWerterstellungsdienstprogramm kann von einem Administrator ausgeführtwerden, falls der geplante automatische Job nicht ausgeführt wird.

WerterfassungBenachrichtigungen darüber, dass ein Wert eingegeben werden muss, wer-den automatisch an die Werterfassung für Aktivitätsindikatoren mit gerin-gem zeitlichem Abstand zum Erfassungszeitpunkt über die gefiltertenStartseitenlisten und E-Mails gesendet. Wenn der Wert eingegeben und ge-speichert wurde, berechnen KRI- oder KPI-Auslöser Übertretungsstatus-und andere Statuswerte, speichern diese für den Wert und den Indikatorund senden Benachrichtigungen an den Risikoverantwortlichen, falls derÜbertretungsstatus von grün oder gelb auf rot wechselt.

IndikatorberichterstellungKRI- und KPI-Dashboardberichte enthalten zusammenfassende Indikatorin-formationen für die ausgewählte Geschäftsentität und ihre Nachkommen-entitäten, wobei die Möglichkeit besteht, zusätzliche Detail- und Trendin-formationen für die Indikatorwerte anzuzeigen.

Weitere Informationen zu KRI- und KPI-Auslösern finden Sie im Dokument Open-Pages GRC Platform - Lösungen - Metrikdetails. Weitere Informationen zu KRI- undKPI-Dashboardberichten finden Sie im Dokument OpenPages GRC Platform - Lösun-gen - Berichtsdetails.

OpenPages Vendor Risk ManagementIBM OpenPages Vendor Risk Management unterstützt Firmen bei der Bewertungund Analyse von Risiken, die den kooperierenden Anbietern zugeordnet sind.

IBM OpenPages Vendor Risk Management bringt Transparenz in die Betriebs- undSicherheitsaktivitäten für Anbieter und beauftragter Subunternehmer. Es wird eineskalierbare Möglichkeit bereitgestellt, die Compliance und das Risiko von Drittenzu verwalten. So erhalten Firmen einen tieferen Einblick, wie Anbieter oder Projek-te sich auf Geschäftsprozesse auswirken.

IBM OpenPages Vendor Risk Management ermöglicht Firmen das Ausführen derfolgenden Aufgaben:v Erstellen, Verwalten und Dokumentieren aller Anbieter und Projekte

xiv IBM OpenPages GRC Platform Version 7.3.0: Lösungen

v Klassifizieren oder 'Tiering' von Anbietern mit geringer, mittlerer oder hoher Kri-tikalität

v Verwalten von Verträgen von Drittanbieternv Einblick darüber, wie Drittprojekte Ihr Geschäft unterstützenv Verwenden von Standardrisikobeurteilungen, um Risiken bei einzelnen Anbie-

tern zu erfassen und zu mindernv Wiederverwendung der Fragebogenbeurteilung, um ein Anbieter- oder Projekt-

Tierung anhand der Informationen durchzuführen, die mit den Fragebogenbeur-teilungen für Risiko und Compliance erfasst werden

v Erfassen und Speichern von Nachweisen an einem zentralen Ortv Korrigieren und Reduzieren von Risiken nach deren Ermittlungv Erstellen von KPIs (Key Performance Indicators) und KRIs (Key Risk Indicators)v Regelmäßige Überwachung und Berichterstellung in Bezug auf Risiken

Einführung xv

xvi IBM OpenPages GRC Platform Version 7.3.0: Lösungen

Kapitel 1. Neuerungen

Für das vorliegende Release der IBM OpenPages GRC Platform-Lösungen sindneue Features verfügbar.

Informationen zu allen neuen Features für dieses Release finden Sie in der Veröf-fentlichung IBM OpenPages GRC Platform - Neue Features.

Neue Features in Version 7.3.0Neue Lösungen und Erweiterungen für Lösungen sind in der Version 7.3.0 der Lö-sung IBM OpenPages GRC Platform enthalten.

IBM OpenPages Vendor Risk Management

Die neue Lösung 'IBM OpenPages Vendor Risk Management (VRM)' unterstütztFirmen bei der Bewertung und Analyse von Risiken, die den kooperierenden An-bietern zugeordnet sind. Drei neue Objekttypen wurden hinzugefügt: Anbieter,Projekte und Verträge. Weitere Informationen finden Sie in „Beschreibung derObjekttypen” auf Seite 14. Die Fragebogenbeurteilungen können jetzt auch auf An-bieter und Projekte angewendet werden.

IBM OpenPages Operational Risk Management

Die Lösung 'IBM OpenPages Operational Risk Management (ORM)' wurde mitVerbesserungen für die Szenarioanalyse erweitert. Weitere Informationen finden Siein „Beschreibung der Objekttypen” auf Seite 14.

Neue Features in Version 7.2.0.1Die Version 7.2.0.1 der IBM OpenPages GRC Platform-Lösungen enthält neue Lö-sungen und funktionale Erweiterungen für Lösungen.

Neue konfigurierbare Lebenszyklen

In OpenPages Version 7.2.0.1 wurden neben den Lebenszyklen 'Fragebogen' und'Vorfall' drei neue Lebenszyklen zum Produkt hinzugefügt. Diese Lebenszyklenheißen wie folgt:v Problemev Kontrollenv Verlustereignisse

Lebenszyklen können bei Bedarf weiterhin auf andere Objekte erweitert werden.Die Lebenszyklen für Verlustereignisse und Probleme sind in den vorhandenenAuslösern integriert, die für diese Objekte definiert sind. Die E-Mails, die als Teilder neuen Lebenszyklen (einschließlich Vorfälle) gesendet werden, wurden verbes-sert und enthalten mehr Informationen zur Ressource. Probleme und Verlustereig-nisse wurden außerdem aktualisiert, damit sie ein Fälligkeitsdatum für alle Anfor-derungen während des Lebenszyklus einbeziehen.

Weitere Informationen finden Sie in „Neue Lebenszyklusauslöser in Version7.2.0.1” auf Seite 69.

1

Neue Features in Version 7.2.0Version 7.2.0 der IBM OpenPages GRC Platform-Lösungen enthält neue Lösungenund funktionale Erweiterungen für Lösungen.

Module werden jetzt als Lösungen bezeichnet

Das bisher als Modul bekannte Konzept wird nun als Lösung bezeichnet. Der Titeldieses Handbuchs lautet daher nun OpenPages GRC Platform - Lösungen.

IBM OpenPages Regulatory Compliance Management

Die Lösung IBM OpenPages Regulatory Compliance Management (RCM) unter-stützt Unternehmen bei der Aufteilung von Bestimmungen in einen Anforderungs-katalog, der Bewertung der Auswirkungen auf das Geschäft und das Erstellen ent-sprechender umsetzbarer Aufgaben. Sie ermöglicht Firmen das Ausführen derfolgenden Aufgaben:v Erstellen eines Katalogs mit Anforderungen, die behördliche Verpflichtungen er-

füllenv Vergleichen der internen Kontrollmechanismen in der Umgebung mit diesen Ver-

pflichtungenv Bewertung der Compliancestufe der internen Kontrollmechanismen gegenüber

der behördlichen Anforderungenv Initialisieren von Korrekturmaßnahmen anhand der Compliancebeurteilungen

Die Tabellen für die folgenden Elemente werden so aktualisiert, dass sie neue Spal-ten und Zeilen für RCM enthalten:v Objekttypenv Unterkomponentenv Objekttypen mit Auslösernv Profilev Gefilterte Startseitenlistenv Aktivitätsansichtenv Aktivitätsansichten zur Steuerung des Assistenten 'Neu hinzufügen'

IBM OpenPages Model Risk Governance

Die Lösung IBM OpenPages Model Risk Governance (MRG) unterstützt Firmen beider Organisation und Zentralisierung ihres Modellbestandes. Sie stellt eine konfi-gurierbare und anpassbare Plattform bereit, über die Firmen die folgenden Aufga-ben ausführen können:v Organisieren und Verwalten einer unternehmensweiten Modelllistev Dokumentieren und Überwachen von Problemen bei Modellen an einer zentra-

len Positionv Aufzeichnen von Governance-Aktivitäten in Bezug auf die Verwaltung von Mo-

delländerungenv Planen, Überwachen und Verwalten von Modellprüfungen und -validierungenv Zuweisen der entsprechenden Rollen und Zuständigkeiten für das Eigentums-

recht von Modellen und die Modellrisikoverwaltungv Erstellen von Berichten zu Modellbeständen und -problemen

2 IBM OpenPages GRC Platform Version 7.3.0: Lösungen

Die Tabellen für die folgenden Elemente werden so aktualisiert, dass sie neue Spal-ten und Zeilen für MRG enthalten:v Objekttypenv Unterkomponentenv Benachrichtigungenv Berichtev Objekttypen mit Auslösernv Profilev Gefilterte Startseitenlistenv Aktivitätsansichtenv Aktivitätsansichten zur Steuerung des Assistenten 'Neu hinzufügen'

Fragebogenbeurteilungen

Die Einführung von Fragebogenbeurteilungen unterstützt Firmen beim Erfassen,Organisieren und Zentralisieren von Informationen, die von Geschäftsbenutzerngesammelt werden. Lebenszyklusauslöser unterstützen die Prüfung von Fragebo-genbeurteilungen. Die folgenden Objekte wurden hinzugefügt:v Fragebogenbeurteilungenv Fragebogenvorlagenv Abschnittsvorlagenv Unterabschnittsvorlagenv Fragevorlagenv Programme

Lebenszyklen bei Vorfällen

Die Einführung von Lebenszyklen für Objekte des Typs 'Vorfall' unterstützt Firmenbei der Optimierung und Standardisierung von Überprüfungen und Untersuchun-gen von Vorfällen.

Hilfsprogramm für den Bericht zum Administratoreintrag in dieZeiterfassungsliste

Dieser Abschnitt zum Hilfsprogramm für den Bericht zum Administratoreintrag indie Zeiterfassungsliste wurde aktualisiert.

Weitere Informationen finden Sie in „Hilfsprogramm für den Bericht zum Eintragin die Zeiterfassungsliste” auf Seite 49 und „Hilfsprogramm für den Bericht zumAdministratoreintrag in die Zeiterfassungsliste” auf Seite 50.

Neue Features in Version 7.1.0Version 7.1.0 der IBM OpenPages GRC Platform-Module enthält neue Features undfunktionale Erweiterungen.

Integration mit OpenPages Capital Modeling

IBM OpenPages Operational Risk Management ist in OpenPages Capital Modelingintegriert. Durch diese Integration stehen den Benutzern Kapitalmodellierungs-funktionen und -berichte zur Verfügung. Die Benutzer können Erfassungs-, Model-lierungs- und Berichterstellungsfunktionen für Daten für operationelle Risiken und

Kapitel 1. Neuerungen 3

Kapitaldaten gleichzeitig ausführen. Daten (interne und externe Verlustdaten) wer-den von OpenPages GRC Platform in die Capital Modeling-Anwendung geladen.Nach Abschluss dieses Modellierungsprozesses werden die Modelle in der Open-Pages-Anwendung gespeichert, sodass sie für weitere Berichterstellungs- und Ana-lyseoperationen zur Verfügung stehen.

Die folgenden Objekttypen sind enthalten:v Kapitalmodellv Modellergebnis

Die folgenden Berichte sind enthalten:v Kapitalbeitrag nach Geschäftseinheitv Kapitalbeitrag nach Risikokategorie

Aktivitätsansichten für den Assistenten 'Neu hinzufügen' verfüg-bar

Aktivitätsansichten für den Assistenten 'Neu hinzufügen' stehen für die folgendenObjekttypen zur Verfügung:v Risikov Kontrollev Arbeitspapier

Neue Features in Version 7.0.0Version 7.0.0 von IBM OpenPages GRC Platform enthält neue Features und funkti-onale Erweiterungen.

Funktionalität zum Management aufbereiteter operationeller Risi-ken

IBM OpenPages Operational Risk Management enthält einen neuen Workflow, eineneue Automatisierung sowie neue Berichte, um für folgende VorgehensweisenStandardkonzepte bereitzustellen:v Verlustereignissev Risiko und Kontrolle - Selbstbeurteilungv Key Risk Indicatorsv Key Performance Indicatorsv Szenarioanalysev Externe Verlustdatenanalysev Problemmanagement und Korrektur

Visualisierungen

Als Risikoanalyst oder Compliance-Manager können Sie den Geschäftsprozess gra-fisch darstellen und ihn an andere Benutzer, die mit der Risikoanalyse arbeiten,weiterleiten. Sie können interaktive Visualisierungen erstellen, um Informationenzu den Prozessabläufen und zur hierarchischen Geschäftsentitätsstruktur zu kom-munizieren.

Die folgenden Objekttypen sind enthalten:v Prozessdiagramm


v Dateneingabev Datenausgabe

Kapitel 1. Neuerungen 5

Kapitel 2. Objekttypen

IBM OpenPages GRC Platform-Lösungen haben mehrere Objekttypen.

Das Dokument OpenPages GRC - Details zu Objektmodellen enthält Informationen zuden Beziehungen zwischen Objekttypen für jede Lösung.

In der folgenden Tabelle sind die Objekttypen aufgeführt, die für jede Lösung ver-fügbar sind. Es wird außerdem angegeben, ob die Objekttypen standardmäßig akti-viert oder inaktiviert sind. Eine leere Zelle in der Tabelle bedeutet, dass der ent-sprechende Objekttyp für die Lösung nicht verfügbar ist.

Die folgenden Akronyme werden in der Tabelle verwendet:v VRM = IBM OpenPages Vendor Risk Managementv RCM = IBM OpenPages Regulatory Compliance Managementv MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 1. Objekttypen in IBM OpenPages GRC Platform-Lösungen

Objekttyp VRM RCM MRG FCM ORM PCM ITG IAM

Signatur Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Meilenstein Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Meilensteinaktions-element

Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Problem Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Aktionselement Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Datei Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Link Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Geschäftsentität Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Prozess Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Unterprozess Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Risiko Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Kontrolle Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Testplan Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Testergebnis Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Risikobeurteilung Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Prozessdiagramm Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Dateneingabe Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Datenausgabe Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

7

Tabelle 1. Objekttypen in IBM OpenPages GRC Platform-Lösungen (Forts.)


Kontrollziel Aktiviert Inakti-viert

Inakti-viert

Inakti-viert

Inakti-viert

Inakti-viert

Konto Aktiviert

Unterkonto Aktiviert

Erklärung Inakti-viert

Anbieter Aktiviert

Projekt Aktiviert

Vertrag Aktiviert

Prozess - Auswertung Inakti-viert

Aktiviert Inakti-viert

Inakti-viert

Inakti-viert

Risikoauswertung Aktiviert Inakti-viert


Inakti-viert

Inakti-viert

Kontrollbewertung Aktiviert Inakti-viert


Inakti-viert

Inakti-viert

Auswertung derRisikobeurteilung



Inakti-viert

Inakti-viert

Fragebogen Inakti-viert

Aktiviert Aktiviert Inakti-viert

Inakti-viert

Abschnitt Inakti-viert


Inakti-viert

Frage Inakti-viert


Inakti-viert

Fragebogenbeur-teilung

Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Fragebogenvorlage Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Abschnittsvorlage Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Unterabschnitts-vorlage

Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Fragevorlage Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Programm Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Vorgabegruppe Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

Vorgabe Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert Aktiviert

FIRST - Verlust Aktiviert

Verlustereignis Aktiviert

Verlusteinfluss Aktiviert

Verlusterstattung Aktiviert

ORIC - Verlust Aktiviert

ORX - Verlust Aktiviert

Szenarioanalyse Aktiviert

Szenario - Ergebnis Aktiviert

Kapitalmodell Aktiviert

Kapitalmodellergebnis Aktiviert




Kostenstelle Inakti-viert

KRI Aktiviert Inakti-viert

Aktiviert Aktiviert

KRI-Wert Aktiviert Inakti-viert

Aktiviert Aktiviert

KPI Inakti-viert

Aktiviert Aktiviert

KPI-Wert Inakti-viert

Aktiviert Aktiviert

Vorfall Aktiviert Aktiviert Aktiviert

Aussetzung Aktiviert Aktiviert Aktiviert

Mandat Aktiviert Aktiviert Aktiviert Aktiviert

Submandat Aktiviert Aktiviert Aktiviert Aktiviert

Anforderung Aktiviert Aktiviert Aktiviert Aktiviert

Auswertung der An-forderung

Aktiviert

Anforderungsaus-wertung - Wert

Aktiviert

Compliancethema Aktiviert

Complianceplan Aktiviert

Projekt Aktiviert

Richtlinie Aktiviert Aktiviert Aktiviert Aktiviert

Prozedur Aktiviert Aktiviert Aktiviert Aktiviert

Kontrollevaluierung Aktiviert Aktiviert

Attestierung Aktiviert

Kampagne Aktiviert

Mitarbeiter Aktiviert Aktiviert

Kommentar zurRichtlinienprüfung

Aktiviert

Behörde Aktiviert Aktiviert

Behördliche Interakti-on

Aktiviert

RI-Kategorie Aktiviert

RI-Anforderung Aktiviert

Anwendbarkeit vonBestimmungen

Aktiviert Aktiviert

Behördliche Änderung Aktiviert Aktiviert

Behördliche Aufgabe Aktiviert Aktiviert

Behördliche Initiative Aktiviert

Kontrollplan Aktiviert

Basiswert Aktiviert

Ressource Aktiviert

Kapitel 2. Objekttypen 9



Ressourcenlink Aktiviert

Auditierbare Entität Aktiviert

Audit Aktiviert

Auditabschnitt Aktiviert

Arbeitspapier Aktiviert

Feststellung Aktiviert

Plan Aktiviert

Zeiterfassungsliste Aktiviert

Auditor Aktiviert

Auditprüfungs-kommentar

Aktiviert

Anforderung

Änderungs-anforderung

Ausschuss

Dokumentation

Metrik

Metrikwert

Modell

Modelleingabe

Model-Link

Modellbericht

Berichtsabschnitt

Überprüfung

Verwendung

Modellausgabe

Zuordnung der ObjektnamenDie Standardbezeichnungen der Objekttypen sind Objektnamen zugeordnet.

Tabelle 2. Den Objektnamen zugeordnete Objekttypbezeichnungen

Symbol Objektname Objekttypbezeichnung

Assertion Erklärung

Attestation Attestierung

AuditableEntity Auditierbare Entität

Auditor Auditor

AuditPhase Auditabschnitt

AuditProgram Audit


Tabelle 2. Den Objektnamen zugeordnete Objekttypbezeichnungen (Forts.)


Campaign Kampagne

CapitalModel Kapitalmodell

CapitalModelResult Kapitalmodellergebnis

Challenge Anforderung

ChangeRequest Änderungsanforderung

Committee Ausschuss

CompliancePlan Complianceplan

ComplianceTheme Compliancethema

Vertrag Vertrag

CostCenter Kostenstelle

CtlEval Kontrollbewertung

DataInput Dateneingabe

DataOutput Datenausgabe

Dokumentation Dokumentation

Mitarbeiter Mitarbeiter

Projekt Projekt

Feststellung Feststellung

FIRSTLoss FIRST - Verlust

Vorfall Vorfall

KeyPerfIndicator KPI

KeyPerfIndicatorValue KPI-Wert

KeyRiskIndicator KRI

KeyRiskIndicatorValue KRI-Wert

LossEvent Verlustereignis

LossImpact Verlusteinfluss

LossRecovery Verlusterstattung

Mandat Mandat

Metrik Metrik

MetricValue Metrikwert

Modell Modell

ModelInput Modelleingabe




ModelLink Modell-Link

ModelOutput Modellausgabe

ModelReport Bericht

ORICLoss ORIC - Verlust

ORXLoss ORX - Verlust

Plan Plan

Richtlinie Richtlinie

PolicyReviewComment Kommentar zur Richtlinienprüfung

Vorgabe Vorgabe

PrefGrp Vorgabegruppe

Prozedur Prozedur

ProcessDiagram Prozessdiagramm

ProcessEval Prozess - Auswertung

Programm Programm

Projekt Projekt

ProjectActionItem Meilensteinaktionselement

Qsection Abschnitt

Quest Frage

Fragebogen Fragebogen

QuestionnaireAssessment Fragebogenbeurteilung

QuestionnaireTemplate Fragebogenvorlage

QuestionTemplate Fragevorlage

RAEval Auswertung der Risikobeurteilung

RegApp Anwendbarkeit von Bestimmungen

RegChange Behördliche Änderung

RegInt Behördliche Interaktion

Register Register

RegTask Behördliche Aufgabe

Behörde Behörde

RegulatoryInitiative Behördliche Initiative




ReportSection Berichtsabschnitt

Anforderung Anforderung

RequirementEvaluation Auswertung der Anforderung

RequirementEvaluationValue Anforderungsauswertung - Wert

Ressource Ressource

ResourceLink Ressourcenlink

Prüfung Prüfung

ReviewComment Auditprüfungskommentar

RICat RI-Kategorie

RIReq RI-Anforderung

RiskAssessment Risikobeurteilung

RiskEntity Kontrollplan

RiskEval Risikoauswertung

RiskSubEntity Basiswert

ScenarioAnalysis Szenarioanalyse

ScenarioResult Szenario - Ergebnis

SectionTemplate Abschnittsvorlage

SOXAccount Konto

SOXBusEntity Geschäftsentität

SOXControl Kontrolle

SOXControlObjective Kontrollziel

SOXDocument Datei

SOXExternalDocument Link

SOXIssue Problem

SOXMilestone Meilenstein

SOXProcess Prozess

SOXRisk Risiko

SOXSignature Signatur

SOXSubaccount Unterkonto

SOXSubprocess Unterprozess




SOXTask Aktionselement

SOXTest Testplan

SOXTestResult Testergebnis

Submandate Submandat

SubSectionTemplate Unterabschnittsvorlage

Zeiterfassungsliste Zeiterfassungsliste

Verwendung Verwendung

Anbieter Anbieter

Aussetzung Aussetzung

Arbeitspapier Arbeitspapier

Beschreibung der ObjekttypenIBM OpenPages GRC Platform-Lösungen haben mehrere Objekttypen.

Konto Konten entsprechen mindestens einer Artikelposition in einem Finanzbe-richt. Bei jedem Konto wirken sich wiederholt auftretende Prozesse aus.Diese Prozesse können zu Risiken führen, die während des Dokumentati-onsprojekts für Finanzkontrollen dokumentiert werden müssen. Ein Kontowird anhand von Faktoren, wie z. B. Größe, Komplexität der Prozesse, diefür das Konto ausgeführt werden, oder wenn dem Konto neue Produktrei-hen im Unternehmen zugeordnet werden, als 'bedeutend' angegeben. DieRisiken, die einbezogen werden und wesentliche Auswirkungen auf dasKonto haben, werden anhand von Hinweisen der Prozesse, die für dasKonto ausgeführt werden, angegeben.

ErklärungMit dem Objekt 'Erklärung' werden Kontrollobjekte mit Konto- oder Unter-kontoobjekten verbunden. Ein allgemein übliches Verfahren ist es, den Typder Erklärung, die das Kontrollobjekt abdeckt, als Datenfeld des Erklä-rungsobjekts zu speichern.

AttestierungDas Objekt 'Attestierung' ist Teil der Richtlinienbewusstseinsfunktion undwird verwendet, um die Bestätigung eines Mitarbeiters zu erfassen, dereine Richtlinie gelesen und zur Kenntnis genommen hat. Das primäre über-geordnete Element einer Attestierung ist der Mitarbeiterdatensatz und dassekundäre übergeordnete Element ist die dazugehörige Kampagne.

Audit Ein Audit stellt eine Ausführung eines Audits für eine auditierbare Entitätdar. Wenn zum Beispiel eine auditierbare Entität alle zwei Jahre geprüftwird, muss für jeden 2-Jahres-Zeitraum eine separate untergeordnete Audi-tinstanz erstellt werden, z. B. 2006 und 2008. Eine Organisation kann ver-schiedene Prozesse prüfen. Zum Beispiel können Sie eine Entität, eine spe-zifische gesetzliche Bestimmung oder die physische Sicherheit einesDatencenters prüfen.


Das Objekt 'Audit' wird als ein eigenständiger Objekttyp konfiguriert undfür jede Auditinstanz wird ein Ordner automatisch erstellt. Diese Konfigu-ration ermöglicht Ihnen, Vorlagenaudits und Auditkomponenten von einerBibliothek zur Audithierarchie ohne Objektnamenskonflikte zu kopieren.

Die Planung und Zeitplanung der Auditressourcen wird auf der Auditstufeausgeführt.

Der Auditfortschritt der höheren Ebene kann durch Überwachung der Sta-tuswerte und Datumswerte für das Audit verfolgt werden. Wichtige Audit-meilensteine können verfolgt werden, indem Felder hinzugefügt werden,die Fertigstellungsdaten für jeden verfolgten Meilenstein darstellen.

Verwenden Sie das Objekt 'Audit', um den Auditprozess in Ihrem Unter-nehmen zu verwalten. Das Audit ermittelt einen festgelegten Punkt, um In-formationen wie Umfang, Ziele, Ablaufsteuerungsinformationen sowieÜberprüfungs-, Ausführungs- und Genehmigungsrollen zu erfassen. Siekönnen ein Subset von Audits, die Sie in einem Planungshorizont überneh-men, oder alle Audits im Audituniversum verfolgen.

AuditprüfungskommentarDer Objekttyp 'Auditprüfungskommentar' wird verwendet, um währenddes Prüfungsprozesses Feedback für ein Audit und seine Komponenten be-reitzustellen. Es wird als untergeordnetes Element zur Instanz 'Audit', 'Ab-schnitt', 'Arbeitspapier' oder 'Feststellung' zugeordnet, für die Feedbackbereitgestellt werden soll.

AuditabschnittAuditabschnitte können verwendet werden, um Auditphasen, Arbeitspro-gramme innerhalb des Audits oder andere Komponenten des Audits aufder gewünschten Granularitätsebene darzustellen.

Organisationen können mehrere Standardkomponenten für jedes Audit ha-ben. Vorlagenaudits, die Abschnitte für jede Standardkomponente enthal-ten, können in einer Bibliothek erstellt werden. Die erwarteten und tatsäch-lichen Start- und Enddaten für diese Abschnitte werden verwendet, umeinen Bericht über den Fortschritt der wichtigsten Meilensteine in den Au-dits zu erstellen.

Der detaillierte Auditfortschritt kann verfolgt werden, indem ein Auditab-schnitt für jeden Meilenstein eingeschlossen wird. Alternativ können Felderzum Audit hinzugefügt werden, die Fertigstellungsdaten für jeden Meilen-stein darstellen, der von einer Organisation verfolgt werden soll.

Obwohl Auditabschnitte zur Planung und Zeitplanung von Auditressour-cen verwendet werden können, ist diese Methode den meisten Organisatio-nen zu detailliert.

Auditierbare EntitätDas Objekt 'Auditierbare Entität' ist ein untergeordnetes Element einer Ge-schäftsentität. Eine Geschäftsentitätshierarchie des internen Audits wirdeingerichtet und alle auditierbaren Entitäten werden als untergeordnetesElement des Objekts für die Geschäftsentitätshierarchie des internen Auditserstellt. Auditierbare Entitäten, die anhand der Elemente der Organisations-hierarche der Geschäftsentität ausgerichtet werden, werden auch diesenGeschäftsentitäten zugeordnet.

Eine auditierbare Entität repräsentiert ein einzelnes Element des Audituni-versums: eine Sammlung von Elementen des Geschäfts, das geprüft wer-den soll. Die meisten auditierbaren Entitäten stellen geschäftliche oder


rechtliche Entitäten dar, aber sie können auch Prozesse, Projekte oder Initi-ativen mit langer Laufzeit, Compliance-Programme oder gemeinsam ge-nutzte IT-Services darstellen.

Das Risiko auditierbarer Entitäten wird jährlich bewertet, um die Prioritätder Ausführung von Audits pro Jahr zu bestimmen. Die gewichtete Risiko-bewertung kann berechnet werden, aber diese Bewertung kann überschrie-ben werden.

AuditorFür die Ressourcenplanung und -zuweisung werden wichtige Informatio-nen zu jeder Person benötigt, die Auditaufgaben durchführt. Das Objekt'Auditor' wird verwendet, um einen Pool mit Auditoren zu erstellen, demAudits zugewiesen werden können.

Jeder Benutzer, dem ein Audit zugeweisen wurde, wird als Auditorinstanzdargestellt. Die Auditoren sind anschließend für die Ressourcenzuordnungverfügbar. Das Objekt 'Auditor' beinhaltet Attribute, um Auditoren für Au-ditprojekte zu bewerten und auszuwählen (zum Beispiel Spezialgebiete,Sprachen und Zertifizierungen). Auditorobjekten werden dazugehörigeKomponenten der Organisationshierarchie des internen Audits zugeordnet.Es hat sich bewährt, wenn der Name des Auditor-Objekts mit dem Benut-zernamen übereinstimmt.

BasiswertDer Objekttyp 'Basiswert' ist eine Vorlage für Bibliotheksanforderungen.Das Objekt ist eigenständig, das heißt, es werden für jeden Basiswert Ord-ner erstellt. Basiswerte in der Bibliothek stellen Elemente der IT-Be-triebsumgebung dar. Sie sind mit Anforderungen für diesen Typ von Ele-ment verbunden. Das Objekt 'Basiswert' wird von der Bibliothek zur Ge-schäftshierarchie kopiert, es wird eine Zuordnung zur Anforderung in derBibliothek erstellt und die Objekttypen 'Risiko', 'Kontrolle' und 'Test' wer-den als untergeordnete Elemente erstellt. Die Objekte 'Risiko', 'Kontrolle'und 'Test' werden mit Daten aus der Anforderung gefüllt.

Das Objekt 'Basiswert' kann beispielsweise eine Sammlung von Anforde-rungsobjekten für ein Rechenzentrum mit personenbezogenen Daten (Per-sonally Identifiable Information, PII) und eine Klassifizierung vertraulicherDaten sein. Richten Sie für jedes Anforderungsobjekt ein bewährtes Verfah-ren ein, um zu definieren, was kontrolliert (Risikoobjekt) und wie die Kon-trolle (Kontrollobjekt) durchgeführt werden soll. Sie können auch ein be-währtes Verfahren für das Prüfen der Effektivität der Kontrolle erstellen(Testobjekt).

GeschäftsentitätGeschäftsentitäten sind abstrakte Darstellungen Ihrer Geschäftsstruktur.Eine Geschäftsentität kann Unterentitäten enthalten (z. B. Abteilungen, Ge-schäftseinheiten oder geographische Standorte). Die zu erstellende Entitäts-struktur hängt von Ihren Geschäftsanforderungen ab. Sie können zum Bei-spiel eine übergeordnete Entität für den Stammsitz Ihres Unternehmensund eine Unterentität für jeden Standort oder jede Abteilung erstellen. Siekönnen sowohl eine rechtliche als auch eine geschäftliche Entitätsstrukturdarstellen.

Geschäftsentitäten werden auch verwendet, um Bibliotheksdaten zu ver-walten, zum Beispiel Bibliotheken für Risiko- oder Kontrollelemente odergesetzliche Regelungen (z. B. Gesetze, Bestimmungen und Standards).

Arbeiten Sie beim Einrichten einer geschäftlichen Entitätshierarchie mit Ih-rem IBM OpenPages-Berater zusammen. Die Struktur Ihrer Geschäftsentitä-


ten hat Auswirkungen auf den Typ und die Qualität der Informationen, dieaus der Anwendung extrahiert werden können.

In IBM OpenPages Internal Audit Management kann die Organisations-struktur des internen Audits mit Geschäftsentitäten modelliert werden.Dies vereinfacht die Berichtserstellung und den Zugriffsschutz für das in-terne Auditteam. Die Organisationsstruktur des internen Audits ist eineEntität der obersten Ebene, um zu verhindern, dass ein Geschäftsbenutzerversehentlich Zugriff auf die internen Auditinformationen erhält. Die Ele-mente des Audituniversums, die einem internen Auditteam gehören, sindder Geschäftsentität des Teams zugeordnet. Es kann eine weitere Geschäfts-entitätsstruktur der obersten Ebene erstellt werden, um vertrauliche Auditsmit speziellem Zugriffsschutz für diese Audits erstellt werden. Eine Ge-schäftsentität kann auch für die Organisation einer Bibliothek mit Inhaltenfür Vorlagenaudits verwendet werden.

KampagneDas Objekt 'Kampagne' ist Teil der Richtlinienbewusstseinsfunktion undwird verwendet, um die Projektmanagementaspekte der Bewusstseinskam-pagne zu verwalten. Es wird auch verwendet, um die Anforderungen undKriterien zu definieren, die erkennen, welche Mitarbeiter Richtlinien lesenund bestätigen müssen. Kampagnen werden üblicherweise in der Hierar-chie der veröffentlichten Richtlinie erstellt.

KapitalmodellIm Objekt 'Kapitalmodell' werden Kapitalmodellierungsergebnisse für ope-rationelle Risiken gespeichert, die mithilfe des fortgeschrittenen Messansat-zes (Advanced Measurement Approach - AMA) ermittelt werden.

KapitalmodellergebnisDas Objekt 'Kapitalmodellergebnis' zeigt die endgültigen Kapitalschätzun-gen für das operationelle Risiko an.

Anforderung

Mit dem Objekt 'Anforderung' kann das Vorhandensein einer Anforderungfür einen beliebigen Teil des Modellbestandes gespeichert und nachgewie-sen werden. Eine Anforderung wird gestellt und die Antwort aufgezeich-net. Das Objekt 'Anforderung' ist ein untergeordnetes Element der Objekte'Modell' und 'Verwendung'.

Änderungsanforderung

Das Objekt 'Änderungsanforderung' ist ein untergeordnetes Element derObjekte 'Modell' und 'Verwendung' und ermöglicht das Erstellen undÜberwachen von Governanceaktivitäten, die sich auf Änderungen in Mo-dellen und deren Bereitstellungen beziehen. Das Objekt 'Änderungsanfor-derung' erfasst Daten, wie Änderungstyp, Änderungsbeschreibung undStatus. Mit diesem Objekt können zudem die wichtigsten Genehmigungs-und Governanceschritte im Lebenszyklus einer Änderungsanforderung er-fasst werden.

Ausschuss

Das Objekt 'Ausschuss' ist ein untergeordnetes Element des Objekts 'Ge-schäftsentität', mit dem eine Organisation Governancegruppen und -aus-schüsse darstellen kann. Diese können dann mit dem Objekt 'Verwendun-gen' abgestimmt werden und gleichzeitig ein übergeordnetes Element desObjekts 'Mitarbeiter' sein. Das Objekt 'Ausschuss' kann verschiedene Infor-mationen, wie die Aufgabenstellung für einen Ausschuss, die Häufigkeitvon Besprechungen und Details zum Leiter, enthalten.


ComplianceplanMit Objekten des Typs 'Complianceplan' kann ein allgemeiner Plan zurHandhabung gesetzlicher Bestimmungen in einer strukturierten Weise er-stellt werden. Dabei können ein oder mehrere Compliancethemen in einemallgemeinen Complianceplan für die Organisation gruppiert werden.

CompliancethemaMit Objekten des Typs 'Compliancethema' können Benutzer gesetzliche Be-stimmungen zu Beurteilungszwecke nach Themen organisieren. Dabei kön-nen Compliance-Anforderungen über den typischen Rahmen einer Ge-schäftsentität hinaus beurteilt werden, indem gesetzliche Bestimmungenunternehmensweit gruppiert werden. Zu den Beispielthemen zählen Daten-schutz, Governance und Verantwortlichkeit.

VertragDas Objekt 'Vertrag' ist ein untergeordnetes Objekt der Objekte 'Anbieter'oder 'Projekt'. Ein Vertrag stellt eine geschäftliche oder rechtliche Vereinba-rung zwischen einer Geschäftsentität und eines Anbieters oder Projekts dar.Ein Vertrag enthält zusätzliche Informationen, wie zum Beispiel denZeitrahmen der vertraglichen oder monetären Informationen. Verträge sindoptional.

KontrolleKontrollen sind Richtlinien und Verfahren, die die Durchführung von Ant-worten der Risikominderung sicherstellen.

Nach der Ermittlung von Risiken in Ihren Verfahrensweisen richten SieKontrollen ein, zum Beispiel Genehmigungen, Autorisierungen und Über-prüfungen. Mit diesen Kontrollen können diese Risiken entfernt, gemindertoder übertragen werden.

Kontrollen stellen entweder eine Verhinderung oder eine Erkennung vonRisiken bereit. Kontrollelemente werden mit Tests verknüpft, um sicherzu-stellen, ob eine Kontrolle wirksam ist. Beispiel: Die Personalabteilung iden-tifiziert ein Risiko im Prozess für Neueinstellungen. Dieser Prozess ent-spricht nicht den Regelungen und Richtlinien für Diversität undDiskriminierung. Definieren Sie daher Kontrollen, um dieses Risiko zumindern, indem Sie z. B. Richtlinien und Verfahren für Neueinstellungenerstellen sowie eine obligatorische Schulung für HR-Manager durchführen.

Verwenden Sie in IBM OpenPages Internal Audit Management Kontrollen,um ein detailliertes Modell der Kontrollen zu erstellen, die bereits vorhan-den sind oder die Sie für auditierte Aktivitäten umsetzen möchten. Wenndie Kontrollen mit dem Geschäft gemeinsam genutzt werden, können dieKontrollen vom internen Audit und vom Geschäft separat bewertet wer-den.

KontrollbewertungKontrollbewertungsobjekte ähneln den Objekten zur Risikoauswertung.Der Unterschied liegt darin, dass Kontrollbewertungsobjekte als unterge-ordnete Elemente der Kontrollen erstellt werden. In ihnen werden Kontroll-beurteilungsdaten gespeichert. Wenn Berichtszeiträume und Auswertungs-zyklen der Kontrollbeurteilung nicht aufeinander abgestimmt sind, könnenSie Kontrollbewertungsobjekte verwenden, um mehrere Auswertungszyk-len in einem einzelnen Berichtszeitraum zu erfassen.

KontrollzielEin Kontrollziel ist ein Beurteilungsobjekt, das die Risikokategorien für ei-nen Prozess oder Unterprozess definiert.


Kontrollziele definieren die COSO-Compliance-Kategorien, die die Kontrol-len zu mildern beabsichtigen. Die Kontrollziele können in Kategorien un-terteilt werden, z. B. 'Compliance', 'Finanzberichterstattung', 'Strategisch','Operationen' oder 'Unbekannt'.

Nachdem ein Kontrollziel definiert wurde, können auch die Risiken defi-niert werden, die zu diesem Kontrollziel gehören. In den meisten Fällenbesitzt ein Kontrollziel ein dazugehöriges Risiko. Ein Kontrollziel kann je-doch auch mehrere Risiken haben, die ihm zugeordnet sind. Beispiel: EinFinanzdienstleistungsunternehmen beschäftigt Händler, die mit den erfor-derlichen ethischen Standards vertraut sind. Die HR-Abteilung richtet dasKontrollziel 'Personal' ein. Das diesem Kontrollziel zugeordnete Risiko lau-tet 'Mitarbeiter unternehmen Geschäftstätigkeiten, die den Unterneh-menszielen für einen ethischen und fairen Handel widersprechen'.

Standardmäßig wird ein Kontrollziel von OpenPages Internal Audit Ma-nagement inaktiviert. Dieses Objekt wird nicht oft verwendet, es sei denn,es soll an anderen Lösungen ausgerichtet werden, die es verwenden kön-nen.

KontrollplanEin Kontrollplan ist ein eigenständiger Objekttyp, das bedeutet, dass für je-den Kontrollplan Ordner erstellt werden. Es werden Basiswerte gruppiert,um Elemente in der Betriebsumgebung darzustellen, das auf Risiken hinbewertet wird. Er fungiert als Container für eine Sammlung von Basiswert-objekten, die zusammen eine Funktion durchführen oder einen IT-Serviceumfassen. Das Objekt 'Kontrollplan' kann beispielsweise die Server, Be-triebssysteme, Anwendungen, Datenbanken, Support-Mitarbeiter und Ein-richtungen für Unternehmens-E-Mail-Nachrichten darstellen.

KostenstelleKostenstellenobjekte werden verwendet, um Verlustereignisse unter einerGeschäftsentität zu gruppieren. In vielen Fällen möchten Firmen nachver-folgen, wo Verlustereignisse auf einer genauen Granularitätsebene auftre-ten, z. B. auf der Kostenstellenebene, möchten aber nicht alle Organisati-onsebenen als Geschäftsentitäten darstellen.

Dateneingabe, DatenausgabeDie Objekte 'Dateneingabe' und 'Datenausgabe' sind untergeordnete Objek-te des Prozesses und können nur Zuordnungen zu vorhandenen Risikenhaben. Sie stellen Elemente eines Ablaufs dar, um eine Eingabe in einemGeschäftsablauf bzw. eine Ausgabe verschiedener Aktivitäten innerhalb ei-nes Prozesses darzustellen, z. B. das Erstellen eines Berichts, das Aktuali-sieren eines CRM-Systems oder das Abrufen des Feeds einer externen Da-tenquelle.

Dokumentation

Mit Objekten des Typs 'Dokumentation' können umfangreiche Rich Text-Inhalte erfasst werden, die häufig mit der Entwicklung, Bereitstellung undÜberprüfung von Modellen in Zusammenhang stehen. Durch die Verwen-dung eines separaten Objekts für das Modell können solche Objekte leichtmehreren Modellen oder Prüfungen zugeordnet werden. Zudem könnenSie bei der Modellberichtserstellung mit Objekten des Typs 'Berichtsab-schnitt' verbunden werden. Zu Dokumentationstypen zählen unter ande-rem Annahmen, Theorie und Methodik, Entwicklungsinhalte und Daten.Das Objekt 'Dokumentation' ist auf einen datenorientierten Ansatz für dieModelldokumentation ausgerichtet.


MitarbeiterDas Objekt 'Mitarbeiter' ist Teil der Richtlinienbewusstseinsfunktion. Eswird verwendet, um Informationen zu einzelnen Mitarbeitern wie bei-spielsweise Name, Titel, E-Mail-Adresse, Region, Abteilung oder Status zuerfassen. Informationen aus dem Mitarbeiterprofil werden dann mit denfür eine Kampagne definierten Attestierungsvoraussetzungen abgeglichen,um zu ermitteln, welche Mitarbeiter die einzelnen Richtlinien attestierenmüssen. Die Mitarbeiterdaten stammen in der Regel aus dem HR-System-export, der über Online FastMap geladen wird, und befinden sich in derGeschäftsentität des Referenzmitarbeiters. Es ist ein bewährtes Verfahren,dass das Feld 'Mitarbeitername' dem Benutzernamen des Benutzers ent-spricht.

ProjektDas Objekt 'Projekt' ist ein untergeordnetes Objekt der Objekte 'Anbieter'.Ein Projekt stellt einen einzelnen Service dar, der von einem Anbieter be-reitgestellt wird. Projekte werden verwendet, um die Services und Verein-barungen mit einem Anbieter voneinander zu unterscheiden. Projekte sindoptional. Sie können von Fragebogenbeurteilungen, Risikobeurteilungenoder Tiering abhängig sein. Sie haben die Möglichkeit, das Risiko verschie-dener Projekte zusammenzufassen und zu analysieren. Sie können eineübergeordnete Zuordnung zu einem Prozess oder Unterprozess, der voneinem Projekt unterstützt wird, hinzufügen.

Datei Der Objekttyp 'Datei' wird verwendet, um eine Referenz zu einer Datei (z.B. zu einem Dokument, Flussdiagramm oder Arbeitsblatt) im IBM OpenPa-ges-System zu integrieren und sie einem oder mehreren relevanten Objek-ten zuzuordnen.

FeststellungFeststellungen können verwendet werden, um Beobachtungen darzustellen,die dem Unternehmen oder dem Auditausschuss oder beidem mitgeteiltwerden müssen. Feststellungen können auch zum Darstellen individuellertatsächlicher Beobachtungen genutzt werden, während Probleme zum Dar-stellen konsolidierter Themen und systembedingte Probleme verwendetwerden, die dann dem Unternehmen oder Auditausschuss oder beidenmitgeteilt werden.

Eine Feststellung repräsentiert alle nicht abgedeckten Dinge im Laufe einesAudits, die vom Management berücksichtigt und behandelt werden müs-sen. Mit einer Feststellung können Sie den Fortschritt eines ermittelten Pro-blems verfolgen, das vom Management bearbeitet wird. Das Objekt 'Prob-lem' kann anstelle von oder in Verbindung mit dem Objekt 'Feststellung'verwendet werden.

FIRST - VerlustDas Objekt 'FIRST - Verlust' kann aus der Datenbank 'FIRST - Externer Ver-lust' importiert und mit der Szenarioanalyse, dem Benchmarking, der Be-richtserstellung und für den Export von Verlustdaten in Analysetools oderAnwendungen zur Kapitalzuweisung verwendet werden. Die Objekte'FIRST - Verlust' werden häufig in Verlustkategorien verwaltet, z. B. Pro-duktreihen oder Ereignistypen. Verwenden Sie beispielsweise eine Ge-schäftsentität, um eine Hierarchie für FIRST-Verlustdaten zu erstellen. Be-nennen Sie das Root-Objekt „FIRST-data” und erstellen Sie Kategorieordnerunter dem Stammverzeichnis. Verknüpfen Sie externe Verluste mit diesemObjekt.

VorfallEin Vorfall ist ein Ereignis, das nachteilige Auswirkungen auf Ihr Unter-


nehmen haben kann. Erstellen Sie ein Objekt 'Vorfall', um Informationenaufzuzeichnen, z. B. die Person, die für die Überprüfung des Vorfalls undweiterer dazugehöriger Daten verantwortlich ist. Das Objekt 'Vorfall' wirdmit Lebenszyklen verwendet, um die Vorfallanalyse zu vereinfachen. Dieauf Vorfälle angewendeten Kategorien umfassen unter anderem 'Einhal-tung gesetzlicher Bestimmungen', 'Einhaltung rechtlicher Bestimmungen','Informationssicherheit' und 'IT'. Vorfälle werden unter der Geschäftsentitätoder IT-Ressource gespeichert, in der das Ereignis auftrat, und sekundär ei-nem betroffenen Mandat oder einer betroffenen Richtlinie zugeordnet.

Problem, AktionselementVerwenden Sie das Objekt 'Problem' zum Dokumentieren eines Problems inBezug auf jeden Objekttyp, auch wenn die Probleme in Bereichen auftre-ten, in denen interne Kontrollen nicht korrekt implementiert wurden. Bei-spiel: Ein Test wird einer Kontrolle zugeordnet, aber der Test ist bei derletzten Ausführung fehlgeschlagen. Dieses potenzielle Problem kann durchseine Erfassung im Objekt 'Problem' hervorgehoben werden.

Ein Problem wird durch Aktionselemente aufgelöst. Sie können ein Akti-onselement oder eine Reihe von zugehörigen Aktionselementen verwen-den, um einen Aktionsplan zu erstellen. Jedes Aktionselement wird einemBenutzer zur Auflösung zugewiesen, und es verfolgt den Fortschritt. Wennalle Aktionselemente für ein Problem abgeschlossen sind (wenn der Verant-wortliche den Wert auf 100 % festlegt), kann das Problem geschlossen wer-den.

In OpenPages Internal Audit Management können Probleme und Aktions-elemente anstelle von oder gemeinsam mit Feststellungen verwendet wer-den.

KPI, KPI-WertKPIs (Key Performance Indicators; wichtige Leistungsindikatoren) sindKomponenten des Risikoüberwachungsprozesses und werden verwendet,um Früh- oder Spätindikatoren potenzieller Risikobedingungen bereitzu-stellen. Jede Instanz eines KPI innerhalb der Organisation kann eindeutigeZiel- und Schwellenwertgrenzen haben. Der Objekttyp 'KPI-Wert' zeichnetden Wert eines KPI-Objekts zu einem bestimmten Zeitpunkt auf. ErstellenSie ein KPI-Objekt und dann regelmäßig (täglich, wöchentlich, monatlich)ein KPI-Wert-Objekt, sodass Sie Trends feststellen können.

KRI, KRI-WertKRIs (Key Risk Indicators; zentrale Risikoindikatoren) sind Komponentendes Risikoüberwachungsprozesses und werden verwendet, um Früh- oderSpätindikatoren potenzieller Risikobedingungen bereitzustellen. Jede Ins-tanz eines KRI innerhalb der Organisation kann eindeutige Ziel- undSchwellenwertgrenzen haben. KRI-Werte werden zum Aufzeichnen des Ist-Werts eines Indikators zu einem bestimmten Zeitpunkt verwendet.

Link Das Objekt 'Link' wird verwendet, um eine Referenz zu einer URL in einOpenPages-System zu integrieren und ihr mindestens ein wichtiges Objektzuzuordnen.

VerlustereignisVerlustereignisse werden zum Verfolgen von betrieblichen Verlusten ver-wendet, die in jedem Organisationsbereich auftreten können. Verlustereig-nisse werden üblicherweise unter der Geschäftsentität gespeichert, in derder Verlust auftrat. Die Verlustereignisobjekte werden verwendet, um diedazugehörigen internen Verlustdaten zu verfolgen, zu bewerten und zuverwalten. Jedem Verlustereignis können Einflüsse und Rückerstattungen


hinzugefügt werden, indem die Objekte 'Verlusteinfluss' und 'Verlusterstat-tung' verwendet werden. Objekte des Typs 'Verlustereignis', 'Verlustein-fluss' und 'Verlusterstattung' können auch in IBM OpenPages Loss EventEntry erstellt werden.

VerlusteinflussEin Verlusteinfluss ist eine finanzielle oder nicht finanzielle Folge einesVerlustereignisses. Verlusteinflüsse verfolgen verschiedene Typen von Ein-flüssen, die durch ein Verlustereignis ausgelöst werden, zum Beispiel Haf-tungspflichten, Verluste und Schäden des Anlagevermögens oder Unterbre-chungen des Betriebsablaufs. Jedem Verlustereignis können mehrereVerlusteinflüsse zugeordnet sein.

VerlusterstattungVerlusterstattungsobjekte werden zum Verfolgen der Prozesse verwendet,die ausgleichenden Schäden zugeordnet wurden. Die Schäden sind Folgevon Verlustereignissen.

MandatMandate stellen externe Elemente dar, die von Organisationen erfüllt wer-den müssen, z. B. Gesetze, Bestimmungen und Standards. Die Standard-konfiguration unterstützt den von Deloitte und UCF bereitgestellten Inhaltdirekt und kann angepasst werden, damit auch Inhalt anderer Anbieter un-terstützt wird. Mandate werden in einer Struktur für die Bibliotheksge-schäftsentität dargestellt und nicht systemübergreifend repliziert. Beispiel:Eine Versicherungsgesellschaft besitzt ein Objekt 'Mandat' für HIPAA undein weiteres Objekt 'Mandat' für GLBA. Demselben Mandat können ver-schiedene Gruppen innerhalb Ihrer Organisation zugeordnet werden. Da-tenschutzmandate können beispielsweise für Lohn/Gehalt, Versicherungs-services, Rechts- und IT-Abteilungen gelten. Das Objekt 'Mandat'unterstützt zudem Inhalte für die Einhaltung gesetzlicher Bestimmungen.Bestimmungen können aus IBM Regulatory Compliance Analytics extra-hiert und als Mandate für IBM OpenPages Regulatory Compliance Ma-nagement mit Daten gefüllt werden.

Metrik, Metrikwert

Das Objekt 'Metrik' zeichnet die Definition einer Leistungsmessung auf, dievom Unternehmen überwacht wird. Ein Benutzer legt den Metriktyp, gelbeund rote Schwellenwerte und andere Erfassungsinformationen fest. EineMetrik ist ein untergeordnetes Element der Objekte 'Geschäftsentität', 'Ver-wendung' und 'Modell'.

Das Objekt 'Metrikwert' zeichnet das Ergebnis der Leistungsmessung vonMetriken auf. Es ermöglicht dem Unternehmen, zeitreihenbasierte Messer-gebnisse zu speichern.

Meilenstein, MeilensteinaktionselementEin Meilenstein ist ein wichtiger Punkt in der Entwicklung Ihres Projekts.Sie können Meilensteinen wichtige Daten zuordnen oder mit Meilensteinenden Abschluss eines Teils des Gesamtprojekts kennzeichnen. Meilensteinekönnen andere Meilensteine oder Meilensteinaktionselemente enthalten.Meilensteinen können keine anderen Objekte in der Objekthierarchie zuge-ordnet werden.

Ein Meilensteinaktionselement ist ein spezifisches Ziel, das abgeschlossenwerden muss, um den nächsten Meilenstein zu erreichen. Im Allgemeinenmüssen alle mit einem Meilenstein verknüpften Meilensteinaktionselemen-te abgeschlossen werden, um einen Meilenstein zu erreichen. Wenn Ihnenein Objekt 'Meilensteinaktionselement' zugewiesen wird, wird (wenn konfi-


guriert) das Objekt im Abschnitt 'Eigene Meilensteinaktionselemente' in derRegisterkarte 'Eigene Arbeit' angezeigt.

Modell

Das Objekt 'Modell' stellt eine Darstellung der Modelle innerhalb eines Un-ternehmens bereit. Aus theoretischer Sicht wird ein Modell als quantitativeMethode, quantitatives System oder Ansatz angesehen, das statistische,wirtschaftliche, finanzielle oder mathematische Theorien, Verfahren undAnnahmen anwendet, um Eingabedaten so zu verarbeiten, dass eine quan-titative Bewertung erreicht wird. In dem Objekt 'Modell' in OpenPageskönnen wichtige Modellinformationen, darunter Modellbeschreibung, Ei-gentumsrecht des Modells, Modellstatus, Daten des Entwicklungszyklus,Modelltyp und -kategorie sowie Model Risk Assessment-Daten, dargestelltwerden.

Modelleingabe

Wenn ein Unternehmen einen differenzierteren Ansatz für die Modelldoku-mentation verfolgen möchten, können mit dem Objekt 'Modelleingabe' dieEingaben erfasst werden. Zu den verfügbaren Feldern zählen 'Eigentümerder Eingabe', 'Typ', 'Status' und 'Beschreibung'. Ein Objekt des Typs 'Model-leingabe' kann auch ein untergeordnetes Element des Objekts 'Modellaus-gabe' sein. Dadurch können Modellketten auf Detailebene erstellt werden,falls der Modell-Link-Ansatz nicht differenziert genug ist.

Modell-Link

Modelle können komplexe Ketten bilden und es ist für Unternehmen wich-tig, diese Zusammenhänge im Modellbestand darstellen zu können. Mitdem Objekt 'Modell-Link' können Modellketten als ein untergeordnetesElement von zwei übergeordneten Modellen erstellt werden. Das Objekt'Modell-Link' enthält Informationen, die sich sowohl auf die übergeordne-ten als auch die untergeordneten Modelle in der Beziehung beziehen.

Modellausgabe

Wenn ein Unternehmen einen differenzierteren Ansatz für die Modelldoku-mentation verfolgen möchten, können mit dem Objekt 'Modellausgabe' dieAusgaben erfasst werden. Ziel ist es hierbei, die Beschreibung und denÜberblick über die Ausgabe aus Governance-Sicht zu erfassen und nichtdas Modellergebnis aufzuzeichnen.

ORIC - VerlustDas Objekt 'ORIC - Verlust' kann aus der Datenbank 'ORIC - Externer Ver-lust' importiert und mit der Szenarioanalyse, dem Benchmarking, der Be-richtserstellung und für den Export von Verlustdaten in Analysetools oderAnwendungen zur Kapitalzuweisung verwendet werden.

ORX - VerlustDas Objekt 'ORX - Verlust' kann aus der Datenbank 'ORX - Externer Ver-lust' importiert und mit der Szenarioanalyse, dem Benchmarking, der Be-richtserstellung und für den Export von Verlustdaten in Analysetools oderAnwendungen zur Kapitalzuweisung verwendet werden. Sie können exter-ne ORX-Verlustdaten in OpenPages Operational Risk Management für dieSzenarioanalyse und Kapitalmodellierung importieren.

Plan, ZeiterfassungslisteDer Objekttyp 'Plan' vereinfacht die Planung und Zuweisung von Audit-ressourcen auf jeder Ebene. Sie können zum Beispiel ein einzelnes Plan-Ob-jekt für das gesamte Audit erstellen oder können ein Plan-Objekt pro Auf-


gabe für jeden am Audit beteiligten Auditor erstellen. Das Objekt 'Plan'wird verwendet, um die Verfügbarkeit, die Kenntnisse und die Erfahrun-gen zu bestimmen, die für die gewünschte Ressource notwendig sind.OpenPages-Audit-Aktivitätsansichten, Berichte usw. werden an der Pla-nung auf Auditebene ausgerichtet. Die Pläne können stattdessen Auditab-schnitten zugeordnet werden. In diesem Fall müssen diese Komponentengeändert werden.

Planobjekte dienen auch der Verfolgung der benötigten Zeit: Jede Zeitdau-er wird mit den Plänen abgeglichen. Der Objekttyp 'Zeiterfassungsliste'wird verwendet, um die wöchentlichen Ist-Stunden und -Ausgaben mit ei-nem Planobjekt für ein Audit abzugleichen. Da Zeiterfassungslistenobjektemit Plänen verknüpft sind, können Abweichungen zwischen erwarteterund tatsächlicher Dauer und Ausgabe einfach nachverfolgt werden. DerBericht 'Eintrag in die Zeiterfassungsliste' sollte immer verwendet werden,wenn Daten zu Zeit und Ausgaben eingegeben oder bearbeitet werden.Aus diesem Grund gibt es keinen übergeordneten Menüpunkt für die Zei-terfassungsliste in der Standardkonfiguration von OpenPages Internal Au-dit Management.

In der Regel erstellen oder bearbeiten Sie das Objekt 'Plan' mit dem Hilfs-programm 'Pläne hinzufügen oder ändern', das über einen Link auf derAudit-Detailseite aufgerufen werden kann.

RichtlinieRichtlinien sind interne Leitlinien, die von einem Firmenvorstand oderKontrollorgan innerhalb einer Organisation angenommen wird. Der Text ei-ner Richtlinie kann entweder in standardisierten Feldern im Objekt oderals Anhang des Objekts gespeichert werden. Richtlinien haben einen ein-deutigen Lebenszyklus von 'Entwurf' über 'Veröffentlicht' bis hin zu 'Abge-laufen' sowie einen Überprüfungs- und Freigabeprozess. Die Richtlinien imEntwurfsstatus befinden sich in der Regel in der Geschäftshierarchie derOrganisation sowie veröffentlichte und abgelaufene Richtlinien in den Re-ferenzbibliotheksentitäten. Richtlinien werden oft den entsprechendenMandaten in der Bibliothek zugeordnet, zu der sie gehören.

Kommentar zur RichtlinienprüfungKommentare zur Richtlinienprüfung unterstützen und vereinfachen denÜberprüfungs- und Genehmigungsprozess von Richtlinien und Verfahrendurch Experten und Compliance-Mitarbeiter.

Vorgabe, VorgabegruppeDas Objekt 'Vorgabe' ist ein untergeordnetes Element einer Geschäftsentitätund beinhaltet Variablenwerte zu Berichten, Workflows und berechnetenFeldern. Es enthält entitätsspezifische Variablenwerte, mit denen das Ver-halten für denselben Workflow aktiviert werden kann. Definieren Sie zumBeispiel Variablenwerte, um das Verhalten für Überprüfungs- und Geneh-migungs-Workflows für die entsprechenden Benutzer auf jeder Überprü-fungs- und Genehmigungsebene sowie die Schwellenwerte zu bestimmen,um anzugeben, wie viele Überprüfungs- und Genehmigungsebenen erfor-derlich sind.

In der Vorgabegruppe werden mehrere Vorgabenobjekte gruppiert. Ohnedieses Gruppierungsobjekt muss jedes Vorgabenobjekt separat mit jeder da-zugehörigen Geschäftsentität verknüpft werden. Mit der Vorgabegruppewird die entsprechende Wartung minimiert.

In der IBM OpenPages Internal Audit Management-Standardkonfigurationwerden diese Objekte verwendet, um die Gewichtung der Risikofaktoren


in der jährlichen Bewertung der Risikoeinstufung beizubehalten. Da dieGewichtungen und Faktoren für jeden Audittyp anders sein können (z. B.finanziell, operationell oder strategisch), erstellen Sie für jeden Audittypeine separate Vorgabeninstanz. Diese Methode ist ein untergeordnetes Ele-ment der Geschäftsentität und bietet die Möglichkeit entitätsspezifischerVariablenwerte.

ProzedurProzeduren stellen dar, welche Richtlinien in einer Organisation wo, wannund wie implementiert werden. Der Prozedurentext wird in der Regel inden Feldern des Objekts gespeichert. Prozeduren werden im Allgemeinenals untergeordnete Elemente einer Richtlinie dargestellt und befinden sichin derselben Entitätsstruktur wie ihre übergeordnete Richtlinie.

ProzessProzesse sind wichtige End-to-End-Geschäftsaktivitäten innerhalb einer Ge-schäftsentität, die Risiken unterliegen. Prozesse befinden sich in Bereichenwie Finanzberichterstattung, Compliance und Informationssicherheit. Pro-zesse können zum Beispiel in der Forderungsabteilung (wie der Order-to-Cash-Prozess) mit Kontrollen verbessert werden, um Finanzberichterstat-tungsrisiken zu verhindern, beispielsweise betrügerisches Verhalten oderUngenauigkeiten bei der Finanzberichterstattung.

In OpenPages Internal Audit Management können Prozesse auch für Sco-ping-Audits verwendet werden. Audits können Prozesse kopieren, die vonder Geschsäftsentität erstellt werden, oder eigene Prozess erstellen.

ProzessdiagrammEin Prozessdiagramm ist ein untergeordnetes Objekt des Prozesses undkann mehrere Diagramme pro Prozess besitzen. Es wird verwendet, umdie Reihenfolge von Unterprozessen oder Aktivitäten innerhalb eines Pro-zesses mit den dazugehörigen Risiken und Kontrollen mit Anmerkungenwie Entscheidungsknoten zu speichern. Alle Attribute der Geschäftspro-zessvisualisierung werden im Objekt 'Prozessdiagramm' gespeichert.

Prozess - AuswertungDas Objekt 'Prozess - Auswertung' ist ein untergeordnetes Element des Ob-jekts 'Prozess' und wird verwendet, um Prozessmessungswerte zu Trender-mittlungszwecken zu erfassen.

Wenn die Berichtszeiträume nicht an den Auswertungszyklus ausgerichtetsind, können Sie mit dem Objekt 'Prozess - Auswertung' mehrere Auswer-tungszyklen innerhalb eines Berichtszeitraums erfassen.

ProgrammObjekte des Typs 'Programm' werden gemeinsam mit Fragebogenvorlagenzum Implementieren von Fragebogenbeurteilungen verwendet. Wenn einUnternehmensadministrator ein Objekt 'Programm' startet, werden Frage-bogenbeurteilungen erstellt. Ein Programm ist den zugrunde liegenden As-sets und der Fragebogenvorlage, auf dem es basiert, zugeordnet. Das Pro-gramm definiert den Lebenszyklus von Fragebogenbeurteilungen.

ProjektMit einem Objekt des Typs 'Projekt' werden behördliche Aufgaben in ei-nem allgemeine Complianceprojekt organisiert. Es kann beispielsweise be-hördliche Änderungen geben, die im Compliance-Framework verarbeitetwerden müssen. Benutzer können in diesem Zusammenhang ein Projekterstellen und Aufgaben angeben und zuweisen.


Fragebogen, Abschnitt, FrageDie Objekte 'Fragebogen', 'Abschnitt' und 'Frage' werden zusammen ver-wendet, um Fragebögen zu implementieren. Fragebögen werden als Vorla-gen in einer Bibliothek erstellt und erfassen Informationen der Antworten-den. Das Objekt 'Abschnitt' ist ein untergeordnetes Element desübergeordneten Objekts 'Fragebogen' und verwaltet Sätze von zusammen-hängenden Fragen. Das Objekt 'Frage' ist ein untergeordnetes Element desObjekts 'Abschnitt' und erfasst Informationen von Antwortenden. Ge-schäftsadministratoren verwenden die Aktivitätsansicht 'Aufbau des Frage-bogens', um Fragebogenvorlagen zu konfigurieren. Fragebogenvorlagenwerden dann zu den übergeordneten Objekttypen 'Geschäftsentität', 'Pro-zess', 'Unterprozess' oder 'Mitarbeiter' kopiert.

Fragebögen und Fragebogenbeurteilungen stehen nicht in direktem Zusam-menhang. Informationen, die Fragebögen beschreiben, gelten nicht für Fra-gebogenbeurteilungen.

FragebogenbeurteilungMit Objekten des Typs 'Fragebogenbeurteilung' können Informationen vonGeschäftsbenutzern im Unternehmen gesammelt werden. Fragebogenbeur-teilungen werden beim Start eines Programms erstellt. Fragebogenbeurtei-lungen sind dem zugrunde liegenden Assets, dem Programm, über das siegestartet wurden, und der zugrunde liegenden Fragebogenvorlage zuge-ordnet. Fragebogenbeurteilungen werden mit Lebenszyklen verwendet, umPrüfprozesse zu vereinfachen.

Fragebogenbeurteilungen und Fragebögen stehen nicht in direktem Zusam-menhang. Informationen, die Fragebogenbeurteilungen, Fragebogenvorla-gen und Programme beschreiben, gelten nicht für Fragebögen.

Fragebogenvorlage, Abschnittsvorlage, Unterabschnittsvorlage und FragevorlageDie Objekte 'Fragebogenvorlage', 'Abschnittsvorlage', 'Unterabschnittsvorla-ge' und 'Fragevorlage' werden gemeinsam mit Programmen zur Implemen-tierung von Fragebogenbeurteilungen verwendet. Die Objekte 'Fragebogen-vorlage' sind übergeordnete Objekte und organisieren Objekte des Typs'Abschnittsvorlage'. Die Objekte 'Abschnittsvorlage' sind untergeordneteObjekte der Objekte 'Fragebogenvorlage' und organisieren Objekte desTyps 'Unterabschnittsvorlage'. Die Objekte 'Unterabschnittsvorlage' sinduntergeordnete Objekte der übergeordneten Objekte 'Abschnittsvorlage'und organisieren Objekte des Typs 'Fragevorlage'. Fragevorlagen enthalteneine Auswahl an Fragen und Antworten.

Register

Das Objekt 'Register' ist ein untergeordnetes Objekt des Objekts 'Entität'und ein übergeordnetes Objekt der Objekte 'Verwendung' und 'Modell'. DieVerwendung des Objekts 'Register' ist optional. Es wird primär als eine Bi-bliothek für Modelle in der Entwicklungsphase verwendet. Zudem kann esgenutzt werden, um schreibgeschützte Kopien des Objekts 'Verwendung'nach deren Genehmigung im Rahmen des Bereitstellungszyklus zu spei-chern.

Anwendbarkeit von BestimmungenDas Objekt 'Anwendbarkeit von Bestimmungen' befindet sich in der Ge-schäftshierarchie der Organisation. Es beurteilt und verfolgt den behördli-chen Einfluss eines Mandats in der Bibliothek auf eine Geschäftsentität.

BehördeDas Objekt 'Behörde' ist Teil der Managementfunktionalität der behördli-chen Interaktion und bietet Organisationen die Möglichkeit, einen einzigen


Bestand aller Behörden zu erstellen, mit denen die Organisation interagiert.Behörden werden üblicherweise in einer Referenz-Bibliotheksgeschäftsenti-tät erstellt. Das Objekt ist ein untergeordnetes Element der Geschäftsentitätund kann Mandaten und behördlichen Interaktion zugeordnet werden.

Behördliche InteraktionDas Objekt 'Behördliche Interaktion' ist Teil der Managementfunktionalitätder behördlichen Interaktion und bietet die Möglichkeit, Interaktionen, dieKommunikation, interne Aufgaben, Prüfungen und Genehmigungen in Zu-sammenhang mit externen Behördenaufgaben wie Rückfragen, Einreichun-gen, Vorlagen, Prüfungen und Audits zu verwalten. Kunden können fürkomplexe Interaktionen wie Prüfungen und Audits eine dreischichtige Ob-jektstruktur (behördliche Interaktion, RI-Kategorie und RI-Anforderung)verwenden, um alle Interaktionen, alle Interaktionsabschnitte und einzelneAnfragen zu verwalten und zu verfolgen. Für einfachere Anfragen undRückfragen können Kunden das Objekt 'Behördliche Interaktion' selbst ver-wenden, um die Anfrage- und Antwortdetails zu verwalten.

Behördliche ÄnderungDas Objekt 'Behördliche Änderung' ist Teil der Managementfunktionalitätfür behördliche Änderungen. Es unterstützt das Verfolgen von behördli-chen Änderungen (Änderungen oder Anleitungen für eine vorhandeneoder neue gesetzliche Bestimmung), bewertet die Auswirkungen einer Än-derung auf die Organisation, teilt den entsprechenden Personen intern dieÄnderung mit und steuert interne Prozesse als Reaktion auf die Änderung.Behördliche Änderungen befinden sich in der Bibliotheksgeschäftsentitätund sind direkt mit dem geänderten Mandat verknüpft. Das Objekt besitztmehrere verknüpfte, behördliche Aufgaben: je eine Aufgabe für jede Ge-schäftsentität, die vom entsprechenden Mandat betroffen ist.

Behördliche InitiativeDas Objekt 'Behördliche Initiative' ist ein untergeordnetes Objekt des Ob-jekts 'Geschäftsentität'. Es erfasst beschreibende Informationen zu Bestim-mungen, die Auswirkungen auf ein Unternehmen haben. Behördliche Initi-ativen stellen eine erweiterte Gruppierung von Bestimmungen dar.Beispielsweise kann 'Geldwäschebekämpfung' eine behördliche Initiativesein, die mehrere verschiedene Bestimmungen zu Geldwäsche umfasst, dieUnternehmen einhalten müssen. Diese behördlichen Initiativen können ausIBM Regulatory Compliance Analytics abgeleitet und in IBM OpenPagesRegulatory Compliance Management integriert werden.

Behördliche AufgabeDas Objekt 'Behördliche Aufgabe' ist Teil der Managementfunktionalität fürbehördliche Änderungen. Es vereinfacht den Änderungsmanagementpro-zess, der einer behördlichen Aufgabe zugeordnet ist. Eine behördliche Auf-gabe wird in der Geschäftshierarchie der Organisation erstellt und einerPerson in jeder der Geschäftsentitäten zugeordnet, die vom geändertenMandat beeinflusst werden. Das Objekt wird dann zur Nachverfolgungund Überwachung verwendet, wenn eine Aktion als Folge einer Änderung(z. B. Überarbeiten von Richtlinien, Kontrollbewertung, Schulungen) unddes Aktionsfortschritts erforderlich ist.

Bericht

Das Objekt 'Bericht' ist der Kopfsatz für die Sortierung eines Mastermodell-berichts oder eines Modelldokumentationsberichts. Zu den Feldern gehö-ren 'Beschreibung', 'Autor', 'Status' und 'Zusammenfassung'.

Berichtsabschnitt


Das Objekt 'Berichtsabschnitt' wird für die Sortierung von Modellberichtenverwendet. Es ist ein untergeordnetes Objekt des Objekts 'Modellbericht'und ein übergeordnetes Objekt des Objekts 'Dokumentation'. Ein Berichts-Collator oder Berichtsautor generiert Berichtsabschnitte, um die Modelldo-kumentation zu unterteilen. Jeder Berichtsabschnitt kann dann mehrerenTeilen der Dokumentation für die Ausgabe in einem Masterbericht zuge-ordnet werden. Zu den Feldern gehören 'Beschreibung', 'Zusammenfas-sung' und 'Anzeigereihenfolge'.

AnforderungAnforderungen stellen normalisierte Aufgaben dar, die durchgeführt wer-den müssen, um alle zugeordneten Submandate zu erfüllen. Anforderun-gen dienen zwei primären Zwecken: Sie übersetzen die oft komplexe undwortreiche Sprache der Mandate und Submandate in einen einfachen undverständlichen Text und sie verwenden die Gemeinsamkeiten über mehre-ren Submandate hinweg wieder. Beispiel: Es gibt viele Submandate fürzahlreiche Mandate mit der Angabe, dass sichere Kennwörter verwendetwerden sollen. Mit einer einzigen Anforderung können die Details der For-derung nach sicheren Kennwörtern dokumentiert werden. Wenn diese ein-zelne Anforderung erfüllt wird, kann die IT viele Mandate und Submanda-te einhalten.

Die Standardkonfiguration unterstützt den von Deloitte und UCF bereitge-stellten Inhalt direkt. Sie kann angepasst werden, damit auch Inhalt ande-rer Anbieter unterstützt wird. Anforderungen werden in der Regel in einerStruktur für die Bibliotheksgeschäftsentität dargestellt und nicht system-übergreifend repliziert.

Anforderungen unterstützen zudem Inhalte für die Einhaltung gesetzlicherBestimmungen. Mit ihnen können behördliche Verpflichtungen dargestelltwerden, die aus entsprechenden Papieren abgeleitet wurden. Anforderun-gen können aus IBM Regulatory Compliance Analytics extrahiert und alsAnforderungen für das Management der Einhaltung gesetzlicher Bestim-mungen mit Daten gefüllt werden.

Auswertung der AnforderungNachdem Benutzer Anforderungen, die aus Bestimmungen abgeleitet wur-den, interne Kontrollmechanismen zugeordnet haben, können sie bewerten,wie gut diese in Bezug auf die angegebene Anforderung funktionieren. Da-bei können die Betriebseffektivität und die Designeffektivität dieser Kont-rollmechanismen im Rahmen eines Compliancethemas bewertet werden.

Anforderungsauswertung - WertObjekte des Typs 'Anforderungsauswertung - Wert' werden zum Aufzeich-nen des Ist-Werts einer Anforderung zu einem bestimmten Zeitpunkt ver-wendet.

RessourceCOBIT empfiehlt, dass vier Arten von IT-Assets vorhanden sein sollten,wobei die Anwender häufig weitere Asset-Typen nutzen. Das Objekt 'Res-source' ist ein Untertyp, der abhängige Felder verwendet, um alle Typenvon IT-Assets darzustellen. Ressourcen werden normalerweise als Pool er-stellt, der dem Eigner oder Verantwortlichen in der IT-Geschäftsentität zu-geordnet ist. Anschließend werden die Ressourcen den relevanten Be-triebselementen (Basiswerten, Prozessen usw.) in der IT-Betriebsumgebungund gegebenenfalls auch den relevanten Geschäftsentitäten im Unterneh-men zugeordnet. Obwohl Ressourcen einzelne IT-Assets (beispielsweise ei-nen bestimmten Microsoft Windows 2003-Server) darstellen können, wer-


den sie üblicherweise zur Darstellung einer Asset-Gruppe (beispielsweiseWindows 2003 Application-Server für eine bestimmte Anwendung) ver-wendet.

RessourcenlinkCOBIT empfiehlt komplexe Beziehungen für IT-Assets. Diese geben an,dass Assets wie Personen, Prozesse, Infrastrukturen und Informationen un-tereinander sowohl übergeordnete als auch untergeordnete Elemente seinkönnen. Außerdem müssen Ressourcen des gleichen Typs oft gemeinsam inVerbindung stehen. Ein Ressourcenlink kann verwendet werden, um Res-sourcen über eine Viele-zu-viele-Verbindung miteinander zu verbinden. Inder Praxis werden allerdings (mithilfe des Hilfsprogramms für die Benut-zerschnittstelle) genau zwei Ressourcen miteinander verbunden. Wenn Sieden Namen oder die Attribute einer der übergeordneten Ressourcen än-dern, sind der Name und die Attribute des Ressourcenlinks nicht mehr mitden übergeordneten Ressourcen synchron.

Prüfung

Das Objekt 'Prüfung' wird zum Aufzeichnen der Planung und Ergebnisseeiner Modellprüfung verwendet. Es ist ein untergeordnetes Objekt der Ob-jekte 'Verwendung' und 'Modell'. Zu den Feldern zählen unter anderem'Beschreibung', 'Umfang', Datum der Überprüfung und Durchführung,'Ausführender', 'Prüfer' und 'Ergebnis'. Mit dem Objekt 'Prüfung' könnendie Ergebnisse von Prüfungen erfasst werden, ganz gleich, ob es sich umPrüfungen vor der Implementierung, nach der Implementierung oder Prü-fungen handelt, die von der 'zweiten oder dritten Verteidigungslinie' (Se-cond bzw. Third Line of Defense) ausgeführt werden.

RI-KategorieDas Objekt 'RI-Kategorie' ist Teil der Managementfunktionalität der be-hördlichen Interaktion und wird als Mittelschicht in der dreischichtigenObjektstruktur (behördliche Interaktion, RI-Kategorie und RI-Anforderung)verwendet. Das Objekt wird verwendet, um den Fortschritt einzelner Ab-schnitte oder Kategorien einer komplexen Interaktion (wie eine Prüfungoder ein Audit) zu verwalten und zu verfolgen.

RI-AnforderungDas Objekt 'RI-Anforderung' ist Teil der Managementfunktionalität der be-hördlichen Interaktion und wird als letzte Schicht in der dreischichtigenObjektstruktur (behördliche Interaktion, RI-Kategorie und RI-Anforderung)verwendet. Das Objekt wird verwendet, um die einzelnen Anforderungen,Prüfungen und Genehmigungen von Aufgaben vor Arbeitsbeginn und vorOrt als Teil einer komplexen Interaktion (wie eine Prüfung oder ein Audit)zu verwalten und zu verfolgen.

Risiko Risiken sind mögliche Verbindlichkeiten. Risiken können mit Geschäftspro-zessen, Geschäftsentitäten oder einer Compliance mit einem Mandat ver-knüpft werden. Jedes Risiko besitzt Kontrollen, die einen Schutz gegen dasRisiko bereitstellen. Die Kontrollen helfen dabei, die Konsequenzen zuvermindern, die aus dem Risiko entstehen. Verwenden Sie das Objekt 'Risi-ko', um Risiken zu kategorisieren, um die Häufigkeit, die Bewertung undden Schweregrad beobachteter und berechneter Risiken zu erfassen undum Berichte zur Ermittlung der häufigsten Risiken anzuzeigen. Beispiel:Ein Barzahlungskonto besitzt einen Prozess mit dem Namen 'Lohn undGehalt'. Ein potenzielles Risiko, das bei der Lohn- und Gehaltsauszahlungauftreten kann, sind doppelte Lohn- und Gehaltsauszahlungen oder die Er-stellung von fiktiven Lohn- und Gehaltsauszahlungen. Daher ist das Ermit-


teln von Risiken in Prozessen eine wichtige Komponente bei der Entwick-lung eines Dokumentationsprojekts zur Finanzkontrolle.

In OpenPages Internal Audit Management wird ein Risiko, das beim inter-nen Audit und beim Geschäft gemeinsam auftritt, separat bewertet.

RisikobeurteilungMit Risikobeurteilungen können potenzielle Verbindlichkeiten für eine Rei-he von Geschäftsentitäten und Prozessen bewertet und in Berichten doku-mentiert werden. Das Objekt 'Risikobeurteilung' enthält die Namen desBeurteilenden und des Prüfers, die Zeitrahmen für die Beurteilung sowieden Beurteilungsstatus. Sie können mit einer Risikobeurteilung den Prozesszur Selbstbeurteilung des Risikos verwalten. Verknüpfen Sie Risikoobjektemit einer Risikobeurteilung, um einen Link zwischen der Geschäftsentitätund den Risiken zu erstellen. Erstellen Sie beispielsweise eine Risikobeur-teilung, um operationelle Risiken wie Diebstahl und Betrug, interner Be-trug, Sachschäden oder Unterbrechungen des Geschäftsablaufs zu bewer-ten.

Auswertung der RisikobeurteilungDas Objekt 'Auswertung der Risikobeurteilung' ähnelt dem Objekt 'Risiko-auswertung'. Der einzige Unterschied zu letzterem ist der, dass das Objektals untergeordnetes Element der Risikobeurteilungen instanziiert wird. Esspeichert Risikobeurteilungsdaten.

RisikoauswertungDas Objekt 'Risikoauswertung' ist ein untergeordnetes Element des Objekts'Risiko' und wird verwendet, um Risikomesswerte zu Trendermittlungs-zwecken zu erfassen. In vielen Fällen werden Berichtszeiträume nicht anden Risikoauswertungszyklen ausgerichtet, sodass das Objekt 'Risikoaus-wertung' dazu verwendet werden kann, mehrere Auswertungszyklen in-nerhalb eines Berichtszeitraums zu erfassen.

SzenarioanalyseDie Szenarioanalyse (SA) ist ein Beurteilungsverfahren, das verwendetwird, um das potenzielle Auftreten von operationellen Risikoereignissen zuidentifizieren und zu messen. Im Gegensatz zu traditionellen Beurteilungendes operationellen Risikos handelt es sich um eine vorausschauende Was-wäre-wenn-Analyse.

Die Szenarioanalyse soll eine fundierte Beurteilung der Wahrscheinlichkeitund der Auswirkungen plausibler operationeller Verluste durch Expertenfür Betriebssteuerung und Risikomanagement ermöglichen. Sie wird häufigverwendet, um selten auftretende Ereignisse zu identifizieren und zu mes-sen, die jedoch große Verluste verursachen, z. B. Naturkatastrophen, Terro-rismus und betrügerische Händler. Neben ihren qualitativen Elementenwird sie häufig als direkte Eingabe für die Kapitalschätzung einer Firmafür das operationelle Risiko verwendet. Mit dem Szenarioanalyseprozess inOpenPages können Sie Szenarioanalysen erstellen und unterstützende qua-litative und quantitative Daten erfassen. In der Regel erstellt man Szenario-analysen für Geschäftsentitäten und ordnet ihnen eine Risikokategorie zu.Sie können auch unterstützende ORM-Daten zuordnen, z. B. Risikobeurtei-lungen, relevante Verlustereignisse, ORIC-Verluste, ORX-Verluste und Risi-ken. Innerhalb jeder Szenarioanalyse können Sie eine Reihe von Häufig-keits- und Schweregradschätzungen zusammen mit unterstützendenInformationen für die Beurteilung in „Buckets” aufzeichnen. Nachdem dieSzenarioanalyse beendet ist, können Sie das Hilfsprogramm für den Ab-schluss der Szenarioanalyse ausführen, um die Beurteilung fertigzustellenund das Objekt für die Szenarioanalyseergebnisse zu erstellen.


Szenario - ErgebnisDas Objekt 'Szenario - Ergebnis' ist ein untergeordnetes Element des Ob-jekts 'Szenarioanalyse' und wird verwendet, um die Ergebnisse aus denSzenarioanalyse-Workshops zu Vergleichs- und Trendermittlungszweckenzu erfassen.

SignaturMit einer Signatur wird im Allgemeinen eine Zustimmung angegeben, dassdas Objekt von Ihnen genehmigt wurde. Das Objekt hat keine Durchset-zungsbefugnisse und verhindert nicht, dass das Element nach der Geneh-migung geändert werden kann. Bei einem Objekt mit einer Signatur wirdin der Registerkarte 'Signaturen' neben dem Namen des Unterzeichners dasSymbol 'Signatur' angezeigt.

Je nach Systemkonfiguration können Signaturen (mit oder ohne zugehörigeSperren) auf ein Objekt wie folgt angewendet werden:v Manuell auf der Detailseite eines Objekts.v Automatisch über eine Workflowaufgabe.v Mit einer Kombination aus automatischem und manuellem Anwenden.

Falls Signatur-Sperren für Ihr System konfiguriert sind und Sie sich von ei-nem Objekt abmelden, werden das Objekt sowie alle seine zugehörigen un-tergeordneten Objekte gesperrt und können erst geändert werden, wennSie entweder Ihre Signatur widerrufen oder ein Administrator das Objektentsperrt.

UnterkontoEin Unterkonto ist eine kleine Zielposition, die Teil eines größeren, überge-ordneten Kontos (oder eines anderen Unterkontos) ist. Jedes Unterkonto-Objekt kann mit einem übergeordneten Konto- oder Unterkonto-Objektenverbunden sein.

SubmandatSubmandate sind externe (oder interne) Unterelemente, die eine Organisati-on einhalten muss. Die Standardkonfiguration unterstützt den von Deloitteund UCF bereitgestellten Inhalt direkt. Sie kann angepasst werden, damitauch Inhalt anderer Anbieter unterstützt wird. Submandate werden in derRegel in einer Struktur für die Bibliotheksgeschäftsentität dargestellt undnicht systemübergreifend repliziert. Submandate sind rekursiv, jedoch ver-wenden Deloitte- und UCF-Inhalte nur eine Submandat-Ebene. Submanda-te unterstützen zudem Inhalte für die Einhaltung gesetzlicher Bestimmun-gen. Mit ihnen können Paragrafen dargestellt werden, die ausentsprechenden Papieren abgeleitet wurden. Paragrafen können aus IBMRegulatory Compliance Analytics extrahiert und als Submandate für dasManagement der Einhaltung gesetzlicher Bestimmungen mit Daten gefülltwerden.

UnterprozessEin Unterprozess ist eine Komponente eines Prozesses. Er wird verwendet,um Prozesse in kleinere Einheiten zu Bewertungszwecken zu unterteilen.Beispiel: Der Order-to-Cash-Finanzprozess kann aus mehreren Unterpro-zessen bestehen, z. B. Verbindlichkeiten, Einkauf und allgemeine Abrech-nung. Alle Unterprozesse können ein Risiko für die Geschäftsentität dar-stellen und können mithilfe von Kontrollen verbessert werden.

In OpenPages Internal Audit Management wird dieses Objekt nicht für dasAudit-Scoping verwendet, kann jedoch bei der Dokumentation von Pro-zessdetails eingesetzt werden.


TestplanEin Testplan ist ein Container für Tests und kann übergeordneten Kontroll-objekten und untergeordneten Objekten wie 'Testergebnisse' oder 'Proble-me' zugeordnet werden. Legen Sie die operative Effizienz einer Kontrollefest, indem Sie detaillierte Tests durchführen und anschließend die Ergeb-nisse dokumentieren. Testpläne bezeichnen die Mechanismen, die festlegen,ob eine Kontrolle wirksam ist. So könnte eine Kontrolle beispielsweise lau-ten: 'Die Personalabteilung genehmigt Änderungen des Mitarbeiterstatus.'Der Test für diese Kontrolle könnten dann wie folgt lauten: 'Überprüfen Sieden HR-Autorisierungsstempel in den Mitarbeiterdatensätzen.' Mit diesemTest wird überprüft, ob die neue Kontrolle implementiert und verwendetwird.

Die Standardkonfiguration von OpenPages Internal Audit Managementverwendet das Objekt 'Arbeitspapier' anstelle von 'Testplan' und 'Testergeb-nis'. Das Objekt 'Audit' benötigt Zugriff auf diese Objekte, da sie häufigzum Dokumentieren von Geschäftstests verwendet werden.

TestergebnisEin Testergebnis enthält die Informationen, die bei der Durchführung einesTestplans gewonnen werden.

Die Standardkonfiguration von OpenPages Internal Audit Managementverwendet das Objekt 'Arbeitspapier' anstelle von 'Testplan' und 'Testergeb-nis'. Das Objekt 'Audit' benötigt Zugriff auf diese Objekte, da sie häufigzum Dokumentieren von Geschäftstests verwendet werden.

Verwendung

Das Objekt 'Verwendung' ist ein untergeordnetes Element der Objekte 'En-tität' und 'Ausschuss'. Es wird als Schlüsselelement zum Aufzeichnen derBereitstellung eines oder mehrerer Modelle verwendet. Das Objekt 'Ver-wendung' enthält Informationen wie 'Beschreibung', 'Status', 'Eigentümer'und Felder, anhand derer die Risikobeurteilung einer bestimmten Gruppevon Modellen durchgeführt werden kann. Das Objekt 'Verwendung' ist dasübergeordnete Objekt der Objekte 'Modell', 'Modellbericht', 'Änderungsan-forderung' und 'Metrik'.

AnbieterEin Anbieter stellt ein Drittunternehmen dar, von der ein UnternehmenGüter oder Services bezieht. Anbieter können zwei Typen von untergeord-neten Objekten haben: Projekte und Verträge. Anbieter können von Frage-bogenbeurteilungen, Risikobeurteilungen oder Tiering abhängig sein. Siehaben die Möglichkeit, das Risiko verschiedener Anbieter zusammenzufas-sen und zu analysieren. Sie können eine übergeordnete Zuordnung zu ei-nem Prozess oder Unterprozess, der von einem Anbieter unterstützt wird,hinzufügen.

AussetzungMit Aussetzungen können Sie den Lebenszyklus von Ausnahmen für Un-ternehmensrichtlinien, Informationssicherheitsrichtlinien, IT-Richtlinienoder Richtlinien zur Einhaltung gesetzlicher Bestimmungen dokumentie-ren, verarbeiten und verwalten. Aussetzungen können Geschäftsentitäten,Richtlinien, Prozeduren, Anforderungen, Risiken, Kontrollen, Basiswertenund Ressourcen zugeordnet werden.

ArbeitspapierEin Arbeitspapier ist ein Artefakt oder ein Liefergegenstand, das bzw. derwährend eines Audits verfolgt werden soll. Es kann ein Auftragsbestäti-gungsschreiben, eine Testmatrix, Interviewnotizen oder Ähnliches für das


fragliche Audit darstellen. Das Arbeitspapier selbst kann aus Attributen be-stehen, die im Objekt 'Arbeitspapier' gespeichert sind, oder es kann eineMicrosoft Word-Datei, eine Microsoft Excel-Datei oder eine Datei eines an-deren Dateityps sein, die an ein Objekt 'Arbeitspapier' angefügt ist. Wennein Arbeitspapier als Testevidenz verwendet wird, werden sowohl die Test-planung als auch die Testergebnisse dokumentiert.

Das Objekt 'Arbeitspapier' wird auf der Detailseite in einem Auditabschnitterstellt. Arbeitspapier-Objekte können auch aus einer Bibliothek kopiertwerden, wo sie als Vorlagen für verschiedene Arbeitspapiere dienen, dievon einer internen Auditabteilung erstellt werden.

UnterkomponentenIBM OpenPages GRC Platform-Lösungen haben mehrere Unterkomponenten.

Eine Unterkomponente ist eine Gruppe von Objekttypen, die eine logische Funkti-on innerhalb der Lösung unterstützt.

In der folgenden Tabelle werden die Unterkomponenten angegeben, die standard-mäßig enthalten sind.


Tabelle 3. Unterkomponenten in OpenPages GRC Platform

Unterkomponente Objekttypbezeichnung VRM RCM MRG FCM ORM PCM ITG IAM

Unternehmen Geschäftsentität X X X X X X X X

Vorgabe Vorgabegruppe, Vorgabe X X X X X X X X

Risikobeurteilung Risikobeurteilung, Auswer-tung der Risikobeurteilung

X X X X X X X X

Prozess Prozess, Prozess - Auswer-tung, Unterprozess,Kontrollziel

X X X X X X X X

Risiko Risiko, Risikoauswertung X X X X X X X X

Kontrolle Kontrolle,Kontrollbewertung

X X X X X X X X

Test Testplan, Testergebnis X X X X X X X X

Problem Problem, Aktionselement X X X X X X X X

Fragebogen Fragebogen, Abschnitt, Fra-ge,

X X X X X X X


Tabelle 3. Unterkomponenten in OpenPages GRC Platform (Forts.)


Fragebogenbeurteilung Fragebogenbeurteilung,Fragebogenvorlage,Abschnittsvorlage,Unterabschnittsvorlage,Fragevorlage

X X X X X X X X

Meilenstein Meilenstein,Meilensteinaktionselement

X X X X X X X X

Visualisierung Prozessdiagramm, Datenein-gabe, Datenausgabe

X X X X X X X X

Beurteilungsprogramm Programm X X X X X X X

Konto Konto, Unterkonto, Erklä-rung

X

Szenarioanalyse Szenarioanalyse, Szenario -Ergebnis

X

Externer Verlust ORX - Verlust, ORIC - Ver-lust, FIRST - Verlust

X

Verlustereignis Verlustereignis,Verlusteinfluss,Verlusterstattung,Kostenstelle

X

Kapitalmodellierung Kapitalmodell,Kapitalmodellergebnis

X

KRI KRI, KRI-Wert X X X X

KPI KPI, KPI-Wert X X X

Behördliche Bibliothek Mandat, Submandat, Anfor-derung

X X X X

Vorfall Vorfall X X X

Aussetzung Aussetzung X X X

Richtlinie Richtlinie, Prozedur, Kom-mentar zurRichtlinienprüfung

X X X

Richtlinienattestierung Richtlinie, Prozedur,Attestierung

X

Kampagne Kampagne, Mitarbeiter,Attestierung

X

Behördliche Interaktion Behördliche Interaktion, Be-hörde, RI-Kategorie, RI

X

Behördliche Änderung Behördliche Änderung, An-wendbarkeit von Bestim-mungen, BehördlicheAufgabe

X X

ITG-Richtlinie Richtlinie, Prozedur X

Kontrollplan Kontrollplan, Basiswert X

Ressource Ressource, Ressourcenlink X

Jahresplanung Auditierbare Entität, Audit X

Projektplan Plan, Zeiterfassungsliste,Auditor

X


Tabelle 3. Unterkomponenten in OpenPages GRC Platform (Forts.)


Feststellungen Feststellung X

Außendienst Auditabschnitt, Arbeitspa-pier,Auditprüfungskommentar

X

Complianceprojekt Projekt, Complianceplan,Compliancethema

X

Auswertung der Anforde-rung

Anforderungsauswertung,Anforderungsauswertung -Wert

X

Behörde Behörde, Behördliche Initia-tive

X

Modellüberwachung Metrik, Metrikwert X

Ausschussstruktur Ausschuss, Mitarbeiter X

Modell und Prüfung -Berichtserstellung

Bericht, Abschnitt, Doku-mentation

X

Modellbestand undLebenszyklus

Register, Verwendung, Mo-dell,Änderungsanforderung,Modelleingabe,Modellausgabe, Modell-Link

X

Prüfung und Anforderung Prüfung, Anforderung X

Anbieter Anbieter, Projekt, Vertrag X

Neben den in der Tabelle aufgeführten Unterkomponenten enthält jede Lösung diefolgenden Objekttypen, die von jedem berechtigten Benutzer aufgerufen werdenkönnen:v Signaturv Dateiv Link


Kapitel 3. Berechnete Felder

IBM OpenPages GRC Platform-Lösungen haben mehrere berechnete Felder. Ein be-rechnetes Feld ist ein schreibgeschütztes Feld, dessen Wert von den Werten andererFelder abgeleitet wird. Berechnete Felder können Datentypen wie boolescher Wert,Datum, Dezimalzahl, Ganzzahl und einfache Zeichenfolge enthalten.

In der folgenden Tabelle werden die berechneten Felder angegeben, die standard-mäßig in jeder Lösung enthalten sind.

Die folgenden Akronyme werden in der Tabelle verwendet:v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 4. Berechnete Felder in OpenPages GRC Platform-Lösungen

Objekttyp-bezeichnung

Feldgruppe

Feldname Beschreibung FCM ORM PCM ITG IAM

Risikobeurteilung

Hilfsprogramm fürden RCSA-Ab-schluss

Erstellt einen Link, mit demdas Hilfsprogramm für denRCSA-Abschluss gestartetwird. Mit diesemHilfsprogramm kann einRCSA-Koordinator dieRisikobeurteilung abschließenund eineAuswertungsbaumstruktur zuProtokoll- undReferenzzwecken erstellen.

X

Risikobeurteilung

Hilfsprogramm fürdie RCSA-Prozessausrichtung

Erstellt einen Link, mit demdas Hilfsprogramm für denRCSA-Abschluss gestartetwird. Mit diesemHilfsprogramm kann einRCSA-Koordinator die dazu-gehörigen Prozesse, Risikenund Kontrollen prüfen sowieweitere Zuordnungen vorneh-men. Das Hilfsprogramm legtauch die Prozesse, Risikenund Kontrollen auf den Status'Warten auf Beurteilung' fest.

X

37

Tabelle 4. Berechnete Felder in OpenPages GRC Platform-Lösungen (Forts.)


Feldgruppe


Szenarioanalyse

Hilfsprogramm fürdenSzenarioabschluss

Erstellt einen Link, mit demdas Hilfsprogramm für denSzenarioabschluss gestartetwird. Mit diesemHilfsprogramm werden dieSzenarioergebnisse nach Ab-schluss eines Workshops er-stellt.

Das für die Risiken verant-wortliche Team oder derSzenarioeigentümer startet dasHilfsprogramm manuell, wenndie Szenarioanalyse abge-schlossen ist.

X

Attestierung

OPSS-Attest

Richtlinien-attestierung

Erstellt einen Link, mit demdas Hilfsprogramm für dieAnsicht zumRichtlinienbewusstsein gestar-tet wird.

X

Richtlinie

OPSS-Pol

Richtlinie ändern

Erstellt einen Link, mit demdas Hilfsprogramm für denRichtlinieneditor gestartetwird.

X

Richtlinie

OPSS-Pol

Richtlinie anzeigen

Erstellt einen Link, mit demdas Hilfsprogramm für dieRichtlinienanzeigefunktiongestartet wird.

X

Richtlinie

OPSS-Pol

Richtlinie für neuenRevisionszyklus öff-nen oder Richtlinieerneut öffnen, umzusätzliche Ände-rungen vorzuneh-men

Erstellt einen Link, mit demdas Hilfsprogramm für denRichtlinieneditor gestartetwird.

X


OPSS-PolRevComm

Richtlinie prüfen

Erstellt einen Link, mit demdas Hilfsprogramm für dieRichtlinienprüfungsansichtgestartet wird.

X

Kontrollplan

OPSS-RiskEnt

Basiswerte

Erstellt einen Link, mit demdas Hilfsprogramm für dasAbrufen von Basiswerten ge-startet wird.

X


Tabelle 4. Berechnete Felder in OpenPages GRC Platform-Lösungen (Forts.)


Feldgruppe


Ressource

OPSS-Res

Ressourcenlinks

Erstellt einen Link, mit demdas Hilfsprogramm für dasHinzufügen einesRessourcenlinks gestartetwird.

X

Auditierbare Entität

OPSS-AudEnt

GewichteteRisikobewertung

Berechnet die Summe der Pro-dukte jedes relevantenRisikofaktorwerts und der zu-gehörigen Gewichtung derRisikofaktoren. DieRisikofaktorwerte werden indie auditierbare Entität einge-geben. Die Gewichtung derRisikofaktoren stammt ausdem 'nächsten'Risikofaktorvorgabenobjektfür Audits, die dem Audittypentspricht, die in derauditierbaren Entität angege-ben wurde.

X

Audit

OPSS-Aud

Audit schließen

Erstellt einen Link, mit demdas Hilfsprogramm für dasSchließen des Audits gestartetwird.

X

Audit

OPSS-Aud

Pläne

Erstellt einen Link, mit demdas Hilfsprogramm für dasStarten fon Audits gestartetwird.

X

Audit

Tatsächliche Spesen

Berechnet die Summe der Spe-sen-Einträge in allenZeiterfassungslisten für allePläne dieses Audits.

X

Audit

Tatsächliche Stun-den

Berechnet die Summe derStunden-Einträge in allenZeiterfassungslisten für allePläne dieses Audits.

X

Plan

OPSS-Plan

Tatsächliche Stun-den

Berechnet die Summe der Spe-sen-Einträge in allenZeiterfassungslisten für allePläne dieses Audits.

X

Plan

OPSS-Plan

Tatsächliche Spesen

Berechnet die Summe derStunden-Einträge in allenZeiterfassungslisten für diesenPlan.

X

Kapitel 3. Berechnete Felder 39

Anmerkung: OpenPages Policy and Compliance Management startet Hilfsanwen-dungen über URL-Felder. Die berechneten Felder werden als URL-Felder imple-mentiert.


Kapitel 4. Hilfsprogramme

IBM OpenPages GRC Platform-Lösungen enthalten mehrere Hilfsprogramme.

In der folgenden Tabelle werden die Hilfsprogramme angegeben, die standardmä-ßig in jeder Lösung enthalten sind.v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 5. Hilfsprogramme in IBM OpenPages GRC Platform-Lösungen

Hilfsprogramm FCM ORM PCM ITG IAM

„Hilfsprogramm für den Szenarioabschluss” aufSeite 42

X

„Dienstprogramm für die KRI-Wert-Erstellung” aufSeite 42

X X X

„Dienstprogramm für die KPI-Wert-Erstellung” aufSeite 43

X X X

„Hilfsprogramm für den RCSA-Abschluss” auf Sei-te 43

X

„Hilfsprogramm für die RCSA-Prozessausrichtung”auf Seite 44

X

„Hilfsprogramm für das Dienstprogramm für denRCSA-Start” auf Seite 44

X

„Hilfsprogramm für die Standortsynchronisation”auf Seite 45

X

Richtlinie anzeigenAnmerkung: Dieses Hilfsprogramm und 'Richtlinieprüfen' sind dasselbe Hilfsprogramm. Jedes Pro-gramm hat eine andere Funktion und hängt davonab, an welcher Stelle im Lebenszyklus sich dieRichtline befindet.

X

Richtlinie prüfenAnmerkung: Dieses Hilfsprogramm und 'Richtlinieanzeigen' sind dasselbe Hilfsprogramm. Jedes Pro-gramm hat eine andere Funktion und hängt davonab, an welcher Stelle im Lebenszyklus sich dieRichtline befindet.

X

„Hilfsprogramm für die Ansicht vonRichtlinienvergleichen” auf Seite 46

X

„Hilfsprogramm zum Entsperren von Richtlinien”auf Seite 46

X

Veröffentlichen von Stapelbenachrichtigungen X

Ansicht zum Richtlinienbewusstsein X

Bericht für die Erstellung von Attestierungen X

41

Tabelle 5. Hilfsprogramme in IBM OpenPages GRC Platform-Lösungen (Forts.)

Hilfsprogramm FCM ORM PCM ITG IAM

„Hilfsprogramm für das Abrufen von Basiswerten”auf Seite 48

X

„Hilfsprogramm für die Erstellung vonRessourcenlinks” auf Seite 48

X

„Hilfsprogramm zum Schließen von Audits” aufSeite 48

X

„Hilfsprogramm für das Hinzufügen oder Ändernvon Plänen” auf Seite 49

X

„Hilfsprogramm für den Bericht zum Eintrag in dieZeiterfassungsliste” auf Seite 49

X

„Hilfsprogramm für den Bericht zumAdministratoreintrag in die Zeiterfassungsliste” aufSeite 50

X

Hilfsprogramm für den SzenarioabschlussWenn der Szenario-Workshop abgeschlossen ist, aktualisiert das für operationelleRisiken verantwortliche Team oder der Szenarioverantwortliche das Szenarioergeb-nis im Objekt 'Szenario'. Um das Szenario fertigzustellen, führt die verantwortlichePerson das Hilfsprogramm für den Szenarioabschluss aus.

Als Moderator des Szenarioanalyseprozesses schließt das für die operationellen Ri-siken verantwortliche Team die meisten Aktivitäten in IBM OpenPages GRC Plat-form ab. Das Hilfsprogramm führt die folgenden Schritte aus:1. Daten werden überprüft.2. Das Objekt 'Szenario - Ergebnisse' wird erstellt.3. Die Szenarioergebnisfelder werden mit Daten aus der Szenarioanalyse gefüllt.4. Der Bericht mit Details zum Szenarioergebnis wird ausgeführt und dem Szena-

rioergebnis angehängt.

Dienstprogramm für die KRI-Wert-ErstellungNachdem der KRI definiert wurde, wird mit dem Dienstprogramm für die KRI-Wert-Erstellung bestimmt, ob ein KRI-Wert mit einem KRI-Wert-Objekt als unterge-ordnetes Element des KRI generiert werden muss.

Mit dem Dienstprogramm für die KRI-Wert-Erstellung werden leere KRI-Wert-Ob-jekte erstellt, die in der darauffolgenden Woche erfasst werden müssen. DasDienstprogramm wird als wöchentliche Task gestartet, die so geplant wird, dass sienachts ausgeführt wird. Administratoren können jedoch das Dienstprogamm auchmanuell starten, wenn die geplante Task nicht automatisch startet.

Das Dienstprogramm prüft die KRIs und ermittelt alle KRIs, die in den nächstensieben Tagen erfasst werden müssen. Die KRIs werden anhand der KRI-DatenwerteHäufigkeit und Häufigkeitsintervall in Tagen ermittelt. Wenn der KRI als Aktivfestgelegt wurde, generiert das Dienstprogramm für die KRI-Wert-Erstellung einenuntergeordneten KRI-Wert und füllt diesen Wert mit folgenden Daten:v IDv Beschreibung, die auf der übergeordneten KRI basiert


v KRI-Eigentümer, der auf der übergeordneten KRI basiertDer Eigentümer ist der Benutzer, der den KRI-Wert in OpenPages GRC Platformaufzeichnet.

v Erwartetes ErfassungsdatumDieses Datum ist schreibgeschützt und basiert auf den Werten Häufigkeit undHäufigkeitsintervall in Tagen.

v Status des KRI-Werts, der auf Warten auf Erfassung festgelegt ist.Wenn der KRI-Wert aber auf Inaktiv festgelegt wurde, wird kein leerer Wertvom Dienstprogramm generiert. Das Wert-Objekt wird zunächst als Platzhaltermit dem Status Warten auf Erfassung eingerichtet.

Dienstprogramm für die KPI-Wert-ErstellungNachdem der KPI definiert wurde, wird mit dem OpenPages GRC Platform-Hilfs-programm bestimmt, ob ein KPI-Wert als KPI-Wert-Objekt als untergeordnetes Ele-ment des KPI generiert werden muss.

Mit dem Dienstprogramm für die KPI-Wert-Erstellung werden leere KPI-Wert-Ob-jekte erstellt, die in der darauffolgenden Woche erfasst werden müssen. DasDienstprogramm wird als wöchentliche Task gestartet, die so geplant wird, dass sienachts ausgeführt wird. Administratoren können jedoch das Dienstprogamm auchmanuell starten, wenn die geplante Task nicht automatisch startet.

Das Dienstprogramm prüft die KPIs und ermittelt alle KPIs, die in den nächstensieben Tagen erfasst werden müssen. Die KPIs werden anhand der KPI-DatenwerteHäufigkeit und Häufigkeitsintervall in Tagen ermittelt. Wenn der KPI als Aktivfestgelegt wurde, generiert das Dienstprogramm für die KPI-Wert-Erstellung einenuntergeordneten KPI-Wert und füllt diesen Wert mit folgenden Daten:v IDv Beschreibung, die auf der übergeordneten KPI basiertv KPI-Eigentümer, der auf der übergeordneten KPI basiert.

Der Eigentümer ist der Benutzer, der den KPI-Wert in OpenPages GRC Platformaufzeichnet.

v Erwartetes ErfassungsdatumDieses Datum ist schreibgeschützt und basiert auf den Werten Häufigkeit undHäufigkeitsintervall in Tagen.

v Status des KPI-Werts, der auf Warten auf Erfassung festgelegt ist.Wenn der KPI-Wert aber auf Inaktiv festgelegt wurde, wird kein leerer Wertvom Dienstprogramm generiert. Das Wert-Objekt wird zunächst als Platzhaltermit dem Status Warten auf Erfassung eingerichtet.

Hilfsprogramm für den RCSA-AbschlussMit dem Hilfsprogramm für den RCSA-Abschluss kann ein RCSA-Koordinator dieRisikobeurteilung abschließen und eine Auswertungsbaumstruktur zu Protokoll-und Referenzzwecken erstellen.

Der RCSA-Koordinator erhält eine Nachricht mit der Frage, ob er fortfahren möch-te. Wenn der Koordinator die Nachricht bestätigt, führt das Hilfsprogramm die fol-genden Aktionen aus:1. Das Feld Risikobeurteilung wird auf Genehmigt festgelegt.

Kapitel 4. Hilfsprogramme 43

2. Die folgende verknüpfte Struktur für den untergeordneten Evaluierungsdaten-satz wird erstellt:v Evaluierung der Risikobeurteilungv Prozessevaluierungv Risikoevaluierungv Kontrollevaluierung

3. Die wichtigen Daten werden in die neuen Evaluierungsdatensätze kopiert undsekundäre Zuordnungen erstellt.Sie müssen angeben, welche Felder kopiert werden sollen (Menü Einstellun-gen).

Hilfsprogramm für die RCSA-ProzessausrichtungMit dem Hilfsprogramm für die RCSA-Prozessausrichtung kann ein RCSA-Koordi-nator die dazugehörigen Prozesse, Risiken und Kontrollen prüfen sowie weitereZuordnungen vornehmen. Das Hilfsprogramm legt auch die Prozesse, Risiken undKontrollen auf den Status Warten auf Beurteilung fest.

Wenn mit dem RCSA-Zyklus begonnen werden soll, kann der RCSA-Koordinatordas Hilfsprogramm über einen URL-Link auf der Seite mit den Details zur Risiko-beurteilung starten.

Das Task-gesteuerte Hilfsprogramm führt nach dem Start die folgenden Aktionenaus:1. Prozesse, Risiken und Kontrollen werden hinzugefügt.2. Die Eigentümerschaft der Prozesse, Risiken und Kontrollen wird geprüft.3. Der RCSA-Koordinator wird gefragt, ob er die Beurteilung starten möchte.v Wenn der Koordinator mit Ja antwortet, fährt das Hilfsprogramm mit den

folgenden Prozessen fort:– Alle Risiken und Kontrollen werden auf Warten auf Beurteilung festge-

legt.– Das Feld Zur Genehmigung übergeben im Risikoobjekt wird auf Nein

festgelegt.– Das Feld Genehmigen/Ablehnen im Risikoobjekt bleibt leer.– Das Feld Kommentare zur Zurückweisung im Risikoobjekt bleibt leer.

v Wenn der Koordinator den RCSA-Zyklus nicht starten möchte, speichert undschließt er die Beurteilung.

Hilfsprogramm für das Dienstprogramm für den RCSA-StartMit dem Hilfsprogramm für das Dienstprogramm für den RCSA-Start werden Risi-kobeurteilungsobjekte für innerhalb des Bereichs befindliche Entitäten generiert.

Das Hilfsprogramm für das Dienstprogramm für den RCSA-Start unterstützt denAdministrator beim Starten des RCSA-Prozesses wie folgt:1. Es wird eine Risikobeurteilung unter der Geschäftsentität erstellt und alle Pro-

zesse unter dieser Geschäftsentität werden der Risikobeurteilung zugeordnet.2. Es werden die Details zur Risikobeurteilung abgefragt.

Der Administrator stellt Werte für die Felder zu allen generierten Risikobeurtei-lungen bereit, z. B. Startdatum, Enddatum und Anleitungen.

3. Es werden alle Im Umfang-Entitäten identifiziert.


4. Das Objekt 'Risikobeurteilung' wird für alle Im Umfang-Entitäten generiert.5. Das Objekt 'Risikobeurteilung' wird mit den in Schritt 1 bereitgestellten Werten

gefüllt.6. Der Risikobeurteilungsstatus wird auf Nicht gestartet festgelegt und das Feld

RCSA-Administrator wird mit dem entsprechenden Benutzernamen gefüllt.7. Der RCSA-Koordinator erhält eine E-Mail mit der Nachricht, dass der RCSA-

Zyklus gestartet werden kann.Der Administrator kann den E-Mail-Inhalt auf der Seite Einstellungen festle-gen. In der Risikokoordinator-E-Mail sind Informationen des nächsten Vorga-bendatensatzes enthalten, der den angegeben RCSA-Koordinator enthält.

Hilfsprogramm für die StandortsynchronisationDas Hilfsprogramm für die Standortsynchronisation synchronisiert Geschäftsinstan-zen von Objektdaten mit den Werten in einer Bibliotheksdatenstruktur.

Wenn das Hilfsprogramm gestartet wird, werden alle Änderungen im Master-/Bibliotheksobjekt ermittelt. Das Hilfsprogramm verwendet ein Feld für die Biblio-theksreferenz als allgemeinen Schlüssel und synchronisiert alle lokalen Instanzendes Objekts mit dem Masterobjekt.

RichtlinienanzeigefunktionenEine Reihe von Richtlinienanzeigefunktionen vereinfachen das Erstellen, Bearbei-ten, Prüfen und Genehmigen von Richtlinien und Prozeduren. Es werden mehrereAbschnitte einer Richtlinie und der dazugehörigen Prozeduren in einer einzelnenbeschreibenden Ansicht zusammengefasst, um sie zu bearbeiten, prüfen und zu ge-nehmigen, während Benutzer die Standardisierung in der Vorlage Richtlinie ver-walten können.

Dieses Hilfsprogramm besitzt die folgenden Ansichten:v Richtlinie ändern - Wird über das Objekt Richtlinie geöffnet. Richtlinie ändern

ist eine bearbeitbare Ansicht, mit der ein Richtlinienautor und -eigentümer dasObjekt Richtlinie und seiner dazugehörigen Prozeduren erstellen und bearbei-ten können. Der Viewer Richtlinie ändern wird nur als Teil der Methode Data-centric des Richtlinienmanagements verwendet.

v Richtlinie anzeigen - Wird über das Objekt Richtlinie geöffnet. Richtlinie an-zeigen ist eine schreibgeschützte Ansicht, mit der Benutzer die Richtlinie undihre Prozeduren in einer formatierten, beschreibenden Ansicht (Ansatz Datacen-tric und Hybrid) oder über den Link Richtlinienanhang (Ansatz Docucentric)anzeigen können.

v Richtlinie prüfen - Wird über das Objekt Richtlinie prüfen geöffnet. Richtlinieprüfen ist eine rollenbasierte Ansicht, die den Prüfungs- und Genehmigungspro-zess vereinfacht. Neben der Anzeige der Objekte Richtlinie und Prozedur oderdes Links Richtlinienanhang ist das Objekt Kommentar zur Richtlinienprüfungenthalten, mit dem Prüfer und genehmigende Personen Feedback durch das di-rekte Ändern des Objekts Richtlinie oder über das Formular Kommentar einrei-chen können. Prüfer erhalten entweder eine bearbeitbare oder schreibgeschützteAnsicht der Richtlinien und Prozeduren, je nachdem, welcher Parameter auf derIBM OpenPages GRC Platform-Seite Einstellungen festgelegt wurde. Die geneh-migenden Personen sehen nur eine schreibgeschützte Ansicht.

Konfigurieren Sie diese Komponente so, dass sie sich entsprechend der Kundenme-thodik über Einstellungen und Anwendungstexteinstellungen verhält.


Hilfsprogramm für die Ansicht von RichtlinienvergleichenMit dem Hilfsprogramm für die Ansicht von Richtlinienvergleichen können Benut-zer die rot unterstrichenen Unterschiede zwischen zwei Richtlinienversionen anzei-gen. So kann ein Benutzer zum Beispiel den Unterschied zwischen dem aktuellenEntwurf einer Richtlinie und der veröffentlichten Richtlinie oder abgelaufenen Ver-sionen sehen.

Die Ansicht von Richtlinienvergleichen wird in den Methoden Datacentric undHybrid verwendet.


Hilfsprogramm zum Entsperren von RichtlinienDas Hilfsprogramm zum Entsperren von Richtlinien wird über das Objekt 'Richtli-nie' geöffnet, nachdem die Richtlinie in die Prüfungs- und Genehmigungsphaseübergegangen ist. Mit dem Hilfsprogramm zum Entsperren von Richtlinien wirddas Objekt 'Richtline' und seine Komponenten (Prozeduren, Anhänge, Kommenta-re zur Richtlinienprüfung) zur Überarbeitung entsperrt.

Das Hilfsprogramm zum Entsperren von Richtlinien unterstützt drei Richtlinienan-sätze: Datacentric, Docucentric und Hybrid.

Das Hilfsprogramm zum Entsperren von Richtlinien unterstützt zwei Anwen-dungsfälle:1. Erneutes Öffnen des Objekts Richtline für Änderungen innerhalb eines Prü-

fungszyklus:v Genehmigungsstatus wird auf In Revision festgelegt.v Alle gesperrten Objekte oder Anhänge, die während des Prüfungsprozesses

benötigt werden, werden entsperrt.v Die Versionsnummer wird aktualisiert.

2. Öffnen einer Richtlinie für einen neuen Prüfungszyklus:v Genehmigungsstatus wird auf 'In Revision' festgelegt.v Das Objekt 'Richtlinie' und seine Komponenten (z. B. Prozeduren, Anhänge)

werden entsperrt.v Felder, z. B. Veröffentlichungsdatum, Veröffentlichungsstatus, Nächstes

Prüfungsdatum, werden zurückgesetzt und gelöscht.v Die Versionsnummer wird aktualisiert.v Die Objekte Kommentar zur Richtlinienprüfung werden gelöscht.v Eine Kennzeichnung für die entsprechende veröffentlichte Richtlinie wird

festgelegt, um anzugeben, dass der Entwurf In Revision ist.

IBM OpenPages GRC Platform oder der Kunde können diese Komponente so kon-figurieren, dass sie sich entsprechend der Kundenmethodik über Registry- und An-wendungstext-Einstellungen verhält.


Hilfsprogramm für das Veröffentlichen von StapelbenachrichtigungenDas Hilfsprogramm für das Veröffentlichen von Stapelbenachrichtigungen verein-facht den Prozess zur Höherstufung einer genehmigten Entwurfsrichtlinie zur ver-öffentlichten Bibliothek sowie zur Verschiebung der aktuellen veröffentlichten Ver-sion zur abgelaufenen Bibliothek. Darüber hinaus kann eine Richtlinie außer Kraftgesetzt werden, indem die veröffentlichte Richtlinie zur veröffentlichten Bibliothekverschoben und der Entwurf gelöscht wird. Sie können das Hilfsprogramm für dasVeröffentlichen von Stapelbenachrichtigungen mit den Richtlinienmethoden Data-centric, Docucentric und Hybrid verwenden.

Das Hilfsprogramm für das Veröffentlichen von Stapelbenachrichtigungen wird re-gelmäßig geplant durchgeführt und führt folgende Tasks aus:v Aktualisierung der Entwurfsrichtlinie:

– Die Felder für die Entwurfsrichtlinie werden festgelegt, z. B. Genehmigungs-status, Veröffentlichungsdatum und Veröffentlichungsstatus.

– Die Versionsnummer wird gemäß der Bedeutung einer Richtlinienänderungaktualisiert.

v Höherstufung des veröffentlichten Objekts Richtlinie in der abgelaufenen Bib-liothek:– Das Objekt Richtlinie wird umbenannt (Anhang: Expired – V#).– Die Position der Richtlinie wird auf Abgelaufen festgelegt und das Ablaufda-

tum wird angegeben.– Die Genehmigungen und Zuordnungen zu Objekten wie Entitäten und Man-

date werden beibehalten.– Die Hybrid-Richtlinienanhänge werden entfernt.

v Höherstufung des Entwurfsobjekts Richtlinie zur veröffentlichten Bibliothek:– Die Position der Richtlinie wird auf Veröffentlicht festgelegt.– Die Genehmigungen und Zuordnungen zu Objekten wie Entitäten und Man-

date werden beibehalten.– Vorhandene Objektzuordnungen (Risikobeurteilung) für das veröffentlichte

Objekt Richtlinie werden beibehalten.v Nach der erfolgreichen Veröffentlichung wird eine E-Mail gesendet.


Hilfsprogramm für die Ansicht zum RichtlinienbewusstseinDas Hilfsprogramm für die Ansicht zum Richtlinienbewusstsein ist eine intuitiveAnzeige, mit der Mitarbeiter eine Richtlinie und deren Prozeduren in Form einerBeschreibung lesen können (High Scale Low Touch, HSLT). Der Mitarbeiter bestä-tigt, dass er die Richtlinie gelesen und verstanden hat.

Das Hilfsprogramm für die Ansicht zum Richtlinienbewusstsein schließt die fol-genden Aufgaben ab:v Zeigt das Objekt Richtlinie und seine Objekte Prozeduren in einer einzelnen

schreibgeschützten Anzeige in Form einer Beschreibung mit der Darstellung undFunktionsweise einer Unternehmensrichtlinie an.

v Ermöglicht Mitarbeitern, die Richtlinie mit einem einzigen Klick und ohne Navi-gation zu betätigen.

v Ermöglicht Mitarbeitern, eine Ausnahme zur Richtlinienattestierung anzufordern.


Konfigurieren Sie diese Komponente so, dass sie sich entsprechend der Kundenme-thodik über Registry- und Anwendungstexteinstellungen verhält.

Hilfsprogramm für den Bericht zur AttestierungserstellungDas Hilfsprogramm für den Bericht zur Attestierungserstellung ist eine geplanteBenachrichtigung. Es kann auch über das Menü 'Berichterstellung' (im Menü 'Be-richte zu Attestierungen') ausgeführt werden.

Dieser Benachrichtigungsbericht unterstützt die Richtlinienbewusstseinsfunktion.Er soll regelmäßig geplant durchgeführt werden und folgende Tasks ausführen:v Sucht alle Kampagnenobjekte mit dem Status Startbereit, die veröffentlichten

Richtlinien zugeordnet wurden.v Sucht alle aktiven Mitarbeiter, die denselben Kriterien der Attestierungsvoraus-

setzung entsprechen, die im Objekt 'Kampagne' definiert wurden.v Erstellt den Datensatz Attestierung für jeden entsprechenden Mitarbeiter für die-

se Richtlinienkampagne.v Setzt den Datensatz Attestierung auf die Startseite des Mitarbeiters, indem die

konfigurierte gefilterte Liste der Startseite verwendet wird.v Sendet jedem Mitarbeiter eine E-Mail-Benachrichtigung und informiert diese,

dass eine Attestierung fällig ist.

Hilfsprogramm für das Abrufen von BasiswertenDas Hilfsprogramm wird über den Link eines berechneten Felds im Objekt 'Kont-rollplan' gestartet. Mit diesem Hilfsprogramm werden die ausgewählten Basiswerteaus der Bibliothek in die IT-Betriebsumgebung kopiert und die Nachkommenwertevon Risiken, Kontrollen und Testplänen kopiert, erstellt oder ausgefüllt. Das Hilfs-programm erstellt Zuordnungen von den neuen Elementen zurück zu den Biblio-thekselementen und schreibt Statusinformationen in das Feld 'Zusätzliche Beschrei-bung' im erstellten Basiswert.

Hilfsprogramm für die Erstellung von RessourcenlinksDieses von einem berechneten Feldlink im Ressourcenobjekt gestartete Hilfspro-gramm erstellt einen Ressourcenlink als untergeordnetes Element der startendenRessource und als untergeordnetes Element der ausgewählten Ressource. Mit die-sem Hilfsprogramm werden die Felder im erstellten Ressourcenlink-Objekt mitWerten ausgefüllt.

Hilfsprogramm zum Schließen von AuditsDas Hilfsprogramm zum Schließen von Audits wird über einen berechneten Feld-link im Objekt 'Audit' gestartet und vereinfacht die Automatisierung des Prozesses'Audit schließen'.

Es enthält eine Zusammenfassung und optional Details zur Bereitschaft zumSchließen des Audits, von dem das Hilfsprogramm gestartet wurde, und zu allenKomponenten. Wenn alle Komponenten bereit sind, wird die Schaltfläche 'Auditschließen' bereitgestellt, mit der die Aktionen automatisiert werden, wenn ein Au-dit geschlossen wird: Einstellung und Löschen von Feldwerten sowie Löschen vonObjektinstanzen und Sperren von Objekten.



Hilfsprogramm für das Hinzufügen oder Ändern von PlänenDas Hilfsprogramm für das Hinzufügen oder Ändern von Plänen wird über einenberechneten Feldlink im Audit-Objekt gestartet und vereinfacht das Erstellen undÄndern von Auditplänen. Auditoren werden gesucht und den Plänen zugeordnet.

Diese Prozesse sind zeitaufwändig, fehleranfällig und deren Ausführung mit derPlattform-Benutzerschnittstelle umständlich.

Das Hilfsprogramm stellt eine Zusammenfassung und die Möglichkeit bereit, vor-handene Pläne für den Audit zu ändern. Außerdem können neue Pläne zum Audithinzugefügt werden. Zudem kann der Auditorpool oder ein Teil des Pools nachAuditoren durchsucht werden, die den Kenntnissen, Attributen und Verfügbar-keitsanforderungen entsprechen, die im Plan angegeben sind. Für jeden gefunde-nen Auditor können die Details weiterer Pläne angezeigt werden. Der entsprechen-de Auditor kann auch aus den Suchergebnissen ausgewählt und automatischeingegeben werden.


Hilfsprogramm für den Bericht zum Eintrag in die ZeiterfassungslisteDas Hilfsprogramm für den Bericht zum Eintrag in die Zeiterfassungsliste wird imMenü 'Berichterstellung' gestartet und ermöglicht einem Auditor, seine Zeit einzu-geben oder zu prüfen.

Der Standardwert ist die aktuelle Woche. Eine Woche startet mit dem Montag, diesist mit den Gantt-Diagrammberichten konsistent. Dieser interaktive Bericht wirdverwendet, um die zuvor eingegebene Zeit und eingegebenen Kosten zu prüfenund die tatsächliche Zeit und Ist-Kosten einzugeben. Der Bericht wird automatischnach dem aktuellen Benutzer gefiltert und enthält Pläne für diesen Benutzer, dadieser der zugeordnete Auditor ist.

Der Benutzer kann zur vorherigen oder nächsten Woche navigieren, indem dieSchaltflächen Vorherige Woche und Nächste Woche verwendet werden. Der Be-nutzer kann auch zu einer anderen Woche navigieren, indem im Kalender-Widgetein Datum in der gewünschten Woche ausgewählt und dann auf die SchaltflächeWechseln zu Woche geklickt wird.

Zeit und Kosten können nur für Pläne eingegeben werden, die den Auditoren zu-geordnet sind. Navigieren Sie zu der Woche, für die Sie die Zeit und Kosten anzei-gen oder eingeben möchten. Beim Erstellen oder Bearbeiten von Zeiterfassungslis-ten im Voraus oder von Zahlungsrückständen außer nach Status gibt es keineEinschränkungen. Zeilen in der Zeiterfassungsliste mit dem Status 'Eingereicht'oder 'Genehmigt' können nicht bearbeitet werden.

Wenn Sie auf 'Speichern' klicken, werden Zeiterfassungslistenobjekte erstellt undfür alle neuen Zeilen gefüllt. Die Werte werden in allen vorhandenen Zeiterfas-sungslisten gespeichert. Spesen sind ein einzelner Eintrag pro Zeile pro Woche, siewerden nicht in Kostenkategorien aufgeschlüsselt. Spesen werden immer in derBasiswährung eingegeben und angezeigt.


Konfigurieren Sie diese Komponente entsprechend der Kundenmethodik. Sie darfnicht als eingebetteter Startseitenbericht konfiguriert werden. In diesem Fall würdedie Komponente die gesamte Startseite nutzen und der Benutzer hätte keinen Zu-griff auf den zugrunde liegenden Inhalt.

Hilfsprogramm für den Bericht zum Administratoreintrag in die Zeiter-fassungsliste

Das Hilfsprogramm wird über das Menü 'Berichterstellung' gestartet. Das Hilfspro-gramm für den Bericht zum Administratoreintrag in die Zeiterfassungsliste ist eineErweiterung des Hilfsprogramm für den Bericht zum Eintrag in die Zeiterfassungs-liste, das eine Übersichtsseite enthält, mit der ein Benutzer mit Zugriffsrechten fürdiesen Bericht einen anderen Benutzer auswählen kann, für den eine Zeitangabeeingegeben wird.

Die Administratorversion dieses Hilfsprogramms beinhaltet die Schaltflächen 'Ge-nehmigen' und 'Ablehnen' und die dazugehörige Funktionalität.

Konfigurieren Sie diese Komponente so, dass sie sich entsprechend der Kundenme-thodik verhält. Sie darf nicht als eingebetteter Startseitenbericht konfiguriert wer-den. In diesem Fall würde die Komponente die gesamte Startseite nutzen und derBenutzer hätte keinen Zugriff auf den zugrunde liegenden Inhalt.


Kapitel 5. Benachrichtigungen

Benachrichtigungen sind E-Mail-Nachrichten, die an die Eigentümer von Prozessengesendet werden, um sie zum Handeln aufzufordern. Diese Benachrichtigungenkönnen in verschiedenen Phasen eines Prozesses oder als letzter Schritt in einemAuslöser auftreten.

Die Dokumente OpenPages GRC Platform - Details zum Problemmanagement und zurKorrektur sowie OpenPages GRC Platform - Metrikdetails enthalten zusätzliche Detailszu Benachrichtigungen.

Alle Benachrichtigungen, die von IBM OpenPages GRC Platform-Lösungen gesen-det werden, verwenden die folgende Senderadresse. Konfigurieren Sie die E-Mail-Adresse und die Servereinstellungen mit den entsprechenden Lösungsabkürzun-gen:v /OpenPages/Solutions/ORM/Email/From Email - Dies ist die Senderadresse, die

zum Senden von Benachrichtigungen verwendet wird.v /OpenPages/Solutions/ORM/Email/From Name - Konfigurieren Sie dieses Element,

um den Namen des E-Mail-Senders zu ermitteln, der von Benachrichtigungenverwendet wird.

v /OpenPages/Common/Email/Mail Server - Konfigurieren Sie dieses Element, umden E-Mail-Server zu ermitteln, der zum Senden von Benachrichtigungen ver-wendet wird.Dieses Element wird von Lebenszyklen verwendet. Für E-Mails, die beim Starteneines Programms für Fragebogenbeurteilungen generiert werden, wird die Ab-senderadresse als [email protected] fest codiert. Für E-Mails, die durchandere Lebenszyklusauslöser generiert werden, ist die Absenderadresse in derDatei trigger.xml angegeben. Die Standardadresse [email protected].

OpenPages GRC Platform-Lösungen haben mehrere Benachrichtigungen. In der fol-genden Tabelle werden die Benachrichtigungen angegeben, die standardmäßig injeder Lösung enthalten sind.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 6. Benachrichtigungen in IBM OpenPages GRC Platform-Lösungen

Benachrichtigung MRG FCM ORM PCM ITG IAM

„Benachrichtigung über Problem- undAktionsbulletin” auf Seite 52

X X X X X X

„Benachrichtigung für KPI-Reminder”auf Seite 52

X X X

„Benachrichtigung überKPI-Übertretungen” auf Seite 52

X X X

51

Tabelle 6. Benachrichtigungen in IBM OpenPages GRC Platform-Lösungen (Forts.)

Benachrichtigung MRG FCM ORM PCM ITG IAM

„Benachrichtigung für KRI-Reminder” X X X

„Benachrichtigung über KRI-Übertre-tungen”

X X X

„Benachrichtigung zu Vorfällen” aufSeite 53

X X

„Benachrichtigung zuFragebogenbeurteilungen” auf Seite 53

X X X X X

Benachrichtigung über Problem- und AktionsbulletinWährend der Abschlussphase im IMR-Prozess wird ein Problem- und Aktionsbul-letin als E-Mail-Benachrichtigung an die Benutzer gesendet. In diesem Bulletinwerden wichtige Aktivitäten wie überfällige Probleme sowie Aktionen hervorgeho-ben, die abgeschlossen werden müssen. Der Administrator legt mit dem IMR-Bul-letin (Issue Management and Remediation, Problemmanagement und Korrektur)fest, wie häufig diese Benachrichtigung gesendet werden soll.

Benachrichtigung für KPI-ReminderDie KPI-Reminder-Benachrichtigung ist eine E-Mail-Nachricht, die an den KPI-Ei-gentümer gesendet wird. Sie enthält eine Liste aller KPI-Werte, die der Eigentümeroder Empfänger in den nächsten sieben Tagen erfassen muss.

Benachrichtigung über KPI-ÜbertretungenBei der Benachrichtigung über KPI-Übertretungen wird eine E-Mail-Nachricht anden Risikoverantwortlichen gesendet, wenn sich der KPI-Übertretungsstatus vonGrün zu Rot oder von Gelb zu Rot ändert.

Die Benachrichtigung über KPI-Übertretungen wird durch den Auslöser für denKPI-Lebenszyklus gestartet. Die E-Mail-Benachrichtigung enthält einen Link zudem KPI, der übertreten wurde, und empfiehlt dem Risikoverantwortlichen, dieÜbertretung zu prüfen und entsprechende Maßnahmen zu ergreifen.

Benachrichtigung für KRI-ReminderDie KRI-Reminder-Benachrichtigung ist eine E-Mail-Nachricht, die an den KRI-Eigentümer gesendet wird. Sie enthält eine Liste aller KRI-Werte, die der Eigentü-mer oder Empfänger in den nächsten sieben Tagen erfassen muss.

Benachrichtigung über KRI-ÜbertretungenBei der Benachrichtigung über KRI-Übertretungen wird eine E-Mail-Nachricht anden Risikoverantwortlichen gesendet, wenn sich der KRI-Übertretungsstatus vonGrün zu Rot oder von Gelb zu Rot ändert.

Die Benachrichtigung über KRI-Übertretungen wird durch den Auslöser für denKRI-Lebenszyklus gestartet. Die E-Mail-Benachrichtigung enthält einen Link zudem KRI, der übertreten wurde, und empfiehlt dem Risikoverantwortlichen, dieÜbertretung zu prüfen und entsprechende Maßnahmen zu ergreifen.


Benachrichtigung zu VorfällenIm Rahmen der Benachrichtigung zu Vorfällen wird eine E-Mail an einen Lebens-zyklusverantwortlichen gesendet, wenn ein Vorfall für jeden Übergang im Vorfall-lebenszyklus erstellt wird. Ein Übergang triff auf, wenn ein Benutzer auf in derDetailansicht für Vorfälle auf ein Übergangssymbol (Lebenszyklus > Start, Prü-fung veranlassen, Eskalieren, Prüfung - Ablehnen, Prüfung - Schließen, Eskalati-onsprüfung veranlassen, Deeskalieren, Eskalationsprüfung - Schließen, Eskalati-onsprüfung - Ablehnen oder Erneut öffnen) klickt.

Die Benachrichtigung zu Vorfällen wird durch den Auslöser für den Vorfalllebens-zyklus gestartet. Die E-Mail-Benachrichtigung enthält die Phase, den Status und ei-nen Link zum Vorfall.

Benachrichtigung zu FragebogenbeurteilungenIm Rahmen der Benachrichtigung zu Fragebogenbeurteilungen wird eine E-Mail aneinen Lebenszyklusverantwortlichen gesendet, wenn von einem Programm und fürjeden Übergang im Lebenszyklus eine Fragebogenbeurteilung erstellt wird. EinÜbergang tritt auf, wenn ein Benutzer in der Fragebogen-UI auf ein Übergangs-symbol (Übergeben, Übergeben und Schließen, Aktion > Ablehnen, Aktion >Genehmigen und Schließen, Action > Zur Genehmigung übergeben und Aktion> Genehmigen) klickt.

Die Benachrichtigung zu Fragebogenbeurteilungen wird vom Auslöser für den Fra-gebogenbeurteilungslebenszyklus gestartet. Die E-Mail-Benachrichtigung enthältdie Phase, den Status und einen Link zur Fragebogenbeurteilung.

Kapitel 5. Benachrichtigungen 53

Kapitel 6. Berichte

IBM OpenPages GRC Platform-Lösungen haben mehrere Berichte.

Das Dokument OpenPages GRC-Lösungen - Berichtsdetails enthält zusätzliche Detailszu Berichten. Es gibt zusätzliche Berichte, die mit OpenPages GRC Platform instal-liert werden, allen Lösungen zur Verfügung stehen und in der VeröffentlichungIBM OpenPages GRC Platform Administator's Guide beschrieben werden.

In der folgenden Tabelle sind die Berichte aufgeführt, die in jeder Lösung stan-dardmäßig enthalten sind.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 7. Risikobeurteilungsberichte in IBM OpenPages GRC Platform-Lösungen

Bericht MRG FCM ORM PCM ITG IAM

Risikobeurteilungsliste X X X X X

Risikobeurteilungsstatus X X X X X

Risikobeurteilungs-zusammenfassung

X X X X X

Risikobeurteilungsproblemeund Aktionselemente

X X X X X

Weitere Informationen zur vorherigen Tabelle siehe „Risikobeurteilungsberichte”auf Seite 58.

Tabelle 8. Risikoberichte in IBM OpenPages GRC Platform-Lösungen


Risikoanalyse X X X X X

Risikoplan X X X X X

Risikobewertung nach Entität X X X X X

Risikobewertung nach Kate-gorie

X X X X X

Häufigste Risiken X X X X X

Weitere Informationen zur vorherigen Tabelle siehe „Risikoberichte” auf Seite 59.

Tabelle 9. Kontrollberichte in IBM OpenPages GRC Platform-Lösungen


Risiko- und Kontrollmatrix X X X X X

Kontrolleffektivitätsplan X X X X X

55

Weitere Informationen zur vorherigen Tabelle siehe „Kontrollberichte” auf Seite 59.

Tabelle 10. Testberichte in IBM OpenPages GRC Platform-Lösungen


Test-Dashboard X X X X X

Weitere Informationen zur vorherigen Tabelle siehe „Testberichte” auf Seite 60.

Tabelle 11. Visualisierungsberichte in IBM OpenPages GRC Platform-Lösungen


Prozessanalyse X X X X X

Weitere Informationen zur vorherigen Tabelle siehe „Visualisierungsberichte” aufSeite 60.

Tabelle 12. Indikatorberichte in IBM OpenPages GRC Platform-Lösungen


KRI-Dashboard X X X

KPI-Dashboard X X X

Weitere Informationen zur vorherigen Tabelle siehe „Indikatorberichte” auf Seite60.

Tabelle 13. Verlustereignis-Berichte in IBM OpenPages GRC Platform-Lösungen


Verlustereignis-Dashboard X

Zusammenfassung desVerlustereignisses

X

Trend des Verlustereignisses X

Risiko-/Verlustvergleich X

Weitere Informationen zur vorherigen Tabelle siehe „Berichte zuVerlustereignissen” auf Seite 61.

Tabelle 14. Berichte zum Problemmanagement und zur Korrektur in IBM OpenPages GRC Platform-Lösungen


ORM: Problemdashboard X

ORM: Probleme undAktionselemente

X

Weitere Informationen zur vorherigen Tabelle siehe „Problemmanagement- undKorrekturberichte” auf Seite 61.

Tabelle 15. Berichte zur Szenarioanalyse in IBM OpenPages GRC Platform-Lösungen


Szenariozusammenfassung X


Weitere Informationen zur vorherigen Tabelle siehe „Szenarioanalyseberichte” aufSeite 62.

Tabelle 16. Kapitalmodellierungsberichte in IBM OpenPages GRC Platform-Lösungen


Kapitalbeitrag nachGeschäftseinheit

X

Kapitalbeitrag nachRisikokategorie

X

Weitere Informationen zur vorherigen Tabelle siehe „Kapitalmodellierungsberichte”auf Seite 62.

Tabelle 17. Behördliche Compliance-Berichte in IBM OpenPages GRC Platform-Lösungen


Prozesskontrolleffektivitätnach Mandat

X

BehördlicheAnwendbarkeitsmatrix

X

Weitere Informationen zur vorherigen Tabelle siehe „BehördlicheCompliance-Berichte” auf Seite 62.

Tabelle 18. Berichte zu IT-Vermögenswerten in IBM OpenPages GRC Platform-Lösungen


Basiswert X

Kontrollplan X

Weitere Informationen zur vorherigen Tabelle siehe „Berichte zuIT-Vermögenswerten” auf Seite 63.

Tabelle 19. IT-Compliance-Berichte in IBM OpenPages GRC Platform-Lösungen


IT-Kontrolleffektivität nachMandat

X

Anforderungsbibliothek X

UCF-Anforderungsbibliothek X

Weitere Informationen zur vorherigen Tabelle siehe „IT-Compliance-Berichte” aufSeite 64.

Tabelle 20. Auditmanagementberichte in IBM OpenPages GRC Platform-Lösungen


Audituniversum X

Auditplan X

Auditorplan X

Auditübersicht X

Bericht des internen Audits X

Kapitel 6. Berichte 57

Tabelle 20. Auditmanagementberichte in IBM OpenPages GRC Platform-Lösungen (Forts.)


Auditabweichung X

Auditorabweichung X

Eintrag in dieZeiterfassungsliste

X

Administratoreintrag in dieZeiterfassungsliste

X

Weitere Informationen zur vorherigen Tabelle siehe „Auditmanagementberichte”auf Seite 65.

RisikobeurteilungsberichteMit Risikobeurteilungsberichten kann das Management das Fällen besserer Ent-scheidungen und daraufhin ergriffener Aktionen unterstützen. Diese Berichte sindTeil der Aktionsphase im RCSA-Prozess (Selbstbeurteilungen von Risiken und Kon-trollen).

In der folgenden Tabelle werden die verfügbaren Risikobeurteilungsberichte be-schrieben. Benutzer können für einige Berichte einen Drillthrough durchführen, umdetaillierte Informationen zu erhalten.

Tabelle 21. Risikobeurteilungsberichte

Name Drillthrough-Bericht Beschreibung

Risikobeurteilungsliste Zeigt die Details zur Risikobeurteilung für eine bestimmteGeschäftsentität und alle ihre Nachkommenelemente an.

Risikobeurteilungsstatus Detail zumRisikobeurteilungsstatus

Zeigt ein gestapeltes Säulendiagramm mit dem Status derRisikobeurteilungen für die angegebene Geschäftsentität undihre direkten Nachkommenelemente an.

Risikobeurteilungs-zusammenfassung


Zeigt die Risikobeurteilungsdetails mit den dazugehörigen Risi-ken und Kontrollen an. Es können weitere Probleme undAktionselemente im Zusammenhang mit denRisikobeurteilungen, Risiken oder Kontrollen aufgerufen wer-den.


Zeigt alle Probleme und Aktionselemente im Zusammenhangmit der Risikobeurteilung und ihren zugeordneten Risiken undKontrollen an. Das übergeordnete Objekt zeigt nur die überge-ordneten Risikobeurteilungs-, Risiko- und Kontrollelemente an.

Im Bericht werden zwei Werte abgefragt: Geschäftsentität undRisikobeurteilung. Die Daten werden für die ausgewählte Enti-tät gefiltert. Die Benutzer können aus allenRisikobeurteilungen, die zugeordnet wurden, entweder direktoder indirekt die entsprechende Geschäftsentität auswählen.


RisikoberichteRisikoberichte stehen in IBM OpenPages GRC Platform-Lösungen zur Verfügung.Benutzer können für einige Berichte einen Drillthrough durchführen, um detaillier-te Informationen zu erhalten.

Tabelle 22. Risikoberichte


Risikoanalyse Zeigt Risiken an, die nach Prozess für eine bestimmteGeschäftsentität gruppiert sind.

Risikoplan Risikodetail Zeigt eine Tabelle an, die Risiken nachRestrisikoeinflüssen und Wahrscheinlichkeit für eine be-stimmte Geschäftsentität aggregiert.

Risikobewertung nach Enti-tät

Risikobewertung nachEntitätsdetail

Zeigt zusammenfassende Informationen zurRestrisikobewertung für die ausgewählteGeschäftsentität und ihre Nachkommenelemente an. EinDrillthrough-Bericht enthält Details zu Risiken.

Risikobewertung nach Kate-gorie

Risikobewertung nachKategoriedetail

Zeigt zusammenfassende Informationen zurRisikokategorie und Restrisikobewertung für die ausge-wählte Geschäftsentität an. Ein Drillthrough-Bericht ent-hält Details zu Risiken.

Häufigste Risiken Zeigt eine Zusammenfassung der häufigsten Risikennach Restrisikoposition sowie die inhärenteRisikoposition an.

Die Felder zur quantitativen Risikobeurteilung sindstandardmäßig nicht in den folgenden Lösungen enthal-ten, sodass dieser Bericht für Benutzer folgender Lösun-gen gegebenenfalls nicht geeignet ist:

v IBM OpenPages Policy and Compliance Management

v IBM OpenPages Financial Controls Management

v IBM OpenPages IT Governance

KontrollberichteKontrollberichte stehen in IBM OpenPages GRC Platform-Lösungen zur Verfügung.Benutzer können für einige Berichte einen Drillthrough durchführen, um detaillier-te Informationen zu erhalten.

Tabelle 23. Kontrollberichte


Risiko- und Kontrollmatrix Zeigt Risiko- und Kontrolldaten für bestimmteGeschäftsentitäten und Prozesse an.

Kontrolleffektivitätsplan Details zurKontrolleffektivität

Zeigt die Anzahl der Kontrollen an, die nach Prozessenund Betriebseffektivität gruppiert sind. Ein Drillthrough-Bericht enthält mehr Informationen.


TestberichteTestberichte stehen in IBM OpenPages GRC Platform-Lösungen zur Verfügung. Be-nutzer können für Berichte einen Drillthrough durchführen, um detaillierte Infor-mationen zu erhalten.

Tabelle 24. Testberichte


Test-Dashboard Test-Dashboard-Detail Zeigt zusammenfassende Informationen zuTestergebnissen für die ausgewählteGeschäftsentität an. Ein Drillthrough-Berichtzeigt Detail- und Trendinformationen an.

VisualisierungsberichteVisualisierungsberichte stehen in IBM OpenPages GRC Platform-Lösungen zur Ver-fügung. Benutzer können für Berichte einen Drillthrough durchführen, um detail-lierte Informationen zu erhalten.

Tabelle 25. Visualisierungsberichte


Prozessanalyse Ablaufdiagramm derProzessanalyse

Diagramm zurGeschäftsentitäts-hierarchie

Risikoplan

Zeigt Risiken und Kontrollen im Zusam-menhang mit dem Prozessdiagramm an.Stellt eine zusammengefasste Ansicht desRisikos und der Kontrollen mit derRisikobewertung und Kontrolleffektivitätauf Prozess- und Geschäftsentitätsebene be-reit.

IndikatorberichteDie Berichterstellung ist die letzte Phase des Key Risk Indicator (KRI)- oder KeyPerformance Indicator (KPI)-Zyklus. Nachdem der Eigentümer die KRIs oder KPIsdefiniert und ihre Werte erfasst hat, werden Standard-Indikatorberichte bereitge-stellt, um Zusammenfassungsinformationen für die ausgewählten Geschäftsentitä-ten darzustellen.

In der folgenden Tabelle werden die Indikatorberichte beschrieben, die in den IBMOpenPages Operational Risk Management-, IBM OpenPages Policy and Compli-ance Management- und IBM OpenPages IT Governance-Lösungen verfügbar sind.Benutzer können für Berichte einen Drillthrough durchführen, um detaillierte In-formationen zu erhalten.

Tabelle 26. Indikatorberichte


KRI-Dashboard KRI-Dashboard-Detail Zeigt KRI-Zusammenfassungsinformationenfür die ausgewählte Geschäftsentität undihre Nachkommenelemente an. EinDrillthrough-Bericht zeigt Detail- undTrendinformationen an.


Tabelle 26. Indikatorberichte (Forts.)


KPI-Dashboard KPI-Dashboard-Detail Zeigt KPI-Zusammenfassungsinformationenfür die ausgewählte Geschäftsentität undihre Nachkommenelemente an. EinDrillthrough-Bericht zeigt Detail- undTrendinformationen an.

Berichte zu VerlustereignissenBerichte zu Verlustereignissen stellen sicher, dass Informationen zu Verlustereignis-sen konsistent in der gesamten Organisation erfasst werden.

In der folgenden Tabelle werden die Berichte zu Verlustereignissen beschrieben, diein IBM OpenPages Operational Risk Management verfügbar sind. Benutzer könnenfür einige Berichte einen Drillthrough durchführen, um detaillierte Informationenzu erhalten.

Tabelle 27. Berichte zu Verlustereignissen


Verlustereignis-Dashboard

Dashboard-Detail fürdas Verlustereignis

Zeigt die Anzahl der Verlustereignisse fürdie ausgewählte Geschäftsentität und ihreNachkommenelemente an, aufgeschlüsseltnach Status und Risikokategorie. EinDrillthrough-Bericht enthält detaillierte In-formationen.

Zusammenfassungdes Verlustereignisses

Verlustereignisdetail Zeigt ein Säulendiagramm (mit der Darstel-lung von Entitäten) mit dem Nettoverlustan, aufgeschlüsselt nach Risikokategorie.Ein Drillthrough-Bericht enthält Details zuVerlustereignissen.

Trend desVerlustereignisses

Trenddetail für dasVerlustereignis

Zeigt die Trenddetails für den Nettoverlustnach Risikokategorie für eine bestimmteGeschäftsentität an.

Risiko-/Verlustvergleich

Zeigt den jährlichen Nettoverlust einerGeschäftsentität an einem bestimmten Da-tum im Vergleich zur aktuellenRestrisikoposition an.

Problemmanagement- und KorrekturberichteProbleme sind Elemente, die für das dokumentierte Framework identifiziert wer-den. Sie wirken sich negativ auf die Funktionalität aus, Risiken zu verwalten undzu dokumentieren.

In der folgenden Tabelle werden die Problemmanagement- und Korrekturberichtebeschrieben, die in IBM OpenPages Operational Risk Management verfügbar sind.Benutzer können für einige Berichte einen Drillthrough durchführen, um detaillier-te Informationen zu erhalten. Für Benutzer anderer Lösungen stehen zwei Platt-formberichte zur Verfügung: Problemliste sowie Probleme und Aktionselemente.


Tabelle 28. Problemmanagement- und Korrekturberichte


ORM:Problemdashboard

Details zumProblemdashboard

Zeigt eine grafische Darstellung der Anzahlvon Problemen anhand des Status. Der Be-richt orientiert sich am Entitätsobjekt undam Datumsbereich.

ORM: Probleme undAktionselemente

Eine Variante des Berichts mit Details zumProblemdashboard. ZeigtZusammenfassungsinformationen zu denzugehörigen Aktionselementen.

SzenarioanalyseberichteSzenarios beziehen die Quantifizierung signifikanter Ereignisse (Einflüsse undHäufigkeit potenzieller Ereignisse) ein, die in einer Organisation auftreten können.Mit der Analyse werden Was-wäre-wenn-Szenarios von Verlusten erfasst. Die Sze-narioanalyseberichte unterstützen die Prüfung vorhandener Szenarios für jede Ge-schäftseinheit.

In der folgenden Tabelle werden die Szenarioanalyseberichte beschrieben, die inIBM OpenPages Operational Risk Management verfügbar sind. Benutzer könnenfür Berichte einen Drillthrough durchführen, um detaillierte Informationen zu er-halten.

Tabelle 29. Szenarioanalyseberichte


Szenariozusammen-fassung

Detail zumSzenarioergebnis

Zeigt alle Szenarios nach Entität an. Zu denDetails gehören die ID, die Beschreibung,der Status und der Eigentümer.

KapitalmodellierungsberichteKapitalmodellierungsberichte enthalten Informationen zu Kapitalbeiträgen.

In der folgenden Tabelle werden die Kapitalmodellierungsberichte beschrieben, diein IBM OpenPages Operational Risk Management verfügbar sind.

Tabelle 30. Kapitalmodellierungsberichte


Kapitalbeitrag nachGeschäftseinheit

Zeigt den Kapitalbeitrag zumGesamtfirmenkapital nachGeschäftseinheiten an.

Kapitalbeitrag nachRisikokategorie

Zeigt den Kapitalbeitrag zumGesamtfirmenkapital nach Risikokategorienan.

Behördliche Compliance-BerichteIn der folgenden Tabelle werden die Behördliche Compliance-Berichte beschrieben,die in IBM OpenPages Policy and Compliance Management verfügbar sind. Benut-zer können für einige Berichte einen Drillthrough durchführen, um detaillierte In-formationen zu erhalten.


Tabelle 31. Behördliche Compliance-Berichte


Prozesskontroll-effektivitätnach Mandat

Prozesskontroll-effektivitätnach Submandat

Im Bericht werden zu einer ausgewähltenGeschäftsentität die dazugehörigen Manda-te mit dem Prozentsatz an effektiven Kont-rollen an, die Prozessen zugeordnet sind.Ein Drillthrough-Bericht enthält detaillierteInformationen.

BehördlicheAnwendbarkeits-matrix

Es werden eine Matrixansicht der Mandateund die Geschäftsentitäten angezeigt, aufdie diese zutreffen.

Berichte zu IT-VermögenswertenIn der folgenden Tabelle werden die Berichte zu IT-Vermögenswerten beschrieben,die in IBM OpenPages IT Governance verfügbar sind.

Tabelle 32. Berichte zu IT-Vermögenswerten


Basiswert Zeigt wichtige Attribute des ausgewähltenBasiswerts zusammen mit den dazugehöri-gen Anforderungen und empfohlenenKontrollaktivitäten und Testprozeduren an.

Kontrollplan Zeigt wichtige Attribute des ausgewähltenKontrollplans zusammen mit den dazuge-hörigen Basiswerten, deren Anforderungensowie die empfohlenen und implementier-ten Kontrollaktivitäten und Testprozedurenan.


IT-Compliance-BerichteIn der folgenden Tabelle werden die IT-Compliance-Berichte beschrieben, die inIBM OpenPages IT Governance verfügbar sind. Benutzer können für einige Berich-te einen Drillthrough durchführen, um detaillierte Informationen zu erhalten.

Tabelle 33. IT-Compliance-Berichte


IT-Kontrolleffektivitätnach Mandat

IT-Kontrolleffektivitätnach Submandat

Im Bericht werden zu einer ausgewähltenGeschäftsentität die dazugehörigen Manda-te mit dem Prozentsatz an effektiven Kont-rollen angezeigt, die Kontrollplänenzugeordnet sind. Ein Drillthrough-Berichtenthält detaillierte Informationen.

Der Bericht enthält Informationen zu denKontrollen der IT-Betriebsumgebung, dievon Mandaten und Basiswerten in der IT-Betriebsumgebung gemeinsam verwendetwerden. Der Bericht stellt eine Übersichtder operativen Effizienz von Kontrollennach Mandat bereit. Ein Unterbericht ist einDrillthrough-Bericht für das ausgewählteMandat, um die operative Effizienz vonKontrollen nach Submandat anzuzeigen.Ein weiterer Unterbericht ist einDrillthrough-Bericht für das ausgewählteMandat, um die nach Ressource gruppier-ten Testergebnisse (Typ = Anwendung) an-zuzeigen. Dieser Bericht bietet eineÜbersicht über die Kompatibilität jeder An-wendung. Der Bericht wird immer aus derIT-Betriebsumgebung aus ausgeführt (dieBibliotheksgeschäftsentität wirdherausgefiltert).

Anforderungs-bibliothek

Dieser Bericht zeigt alle zutreffenden Geset-ze und Richtlinien für die ausgewähltenAnforderungen an.

Er bezieht sich auf die Hierarchie von denAnforderungen, die demEingabeaufforderungs-Scoping entsprechen,aufwärts bis zu den Untermandaten undMandaten, die diese Anforderungen jeweilserfüllen. Dadurch erfahren Sie, dass dasEinhalten einer Anforderung viele Gesetzeerfüllt. Dieser Bericht besitzt je eine Seitepro Anforderung und zugehöriger Mandate.Dieser Bericht wird von der Bibliothek ausausgeführt.

UCF-Anforderungs-bibliothek

Dieser Bericht zeigt alle zutreffendenBehördendokumente für die ausgewähltenabgestimmten UCF-Kontrollen an.


AuditmanagementberichteIn der folgenden Tabelle werden die Auditmanagementberichte beschrieben, die inIBM OpenPages Internal Audit Management verfügbar sind. Benutzer können füreinige Berichte einen Drillthrough durchführen, um detaillierte Informationen zuerhalten.

Tabelle 34. Auditmanagementberichte


Audituniversum In diesem Bericht werden für die ausgewählteAuditorganisation die auditierbaren Entitäten angezeigt, ein-schließlich Risikoeinstufung und vorheriger Auditergebnisse.

Innerhalb einer Geschäftsentität kann ein Benutzer dieSortierreihenfolge auswählen. Wenn die ausgewählteGeschäftsentität sich in der Geschäftshierarchie des internenAudits befindet, wird im Bericht der Teil des Audituniversumsangezeigt, der dem internen Auditteam gehört. Wenn die ausge-wählte Geschäftsentität sich in der Organisationshierarchie be-findet, werden im Bericht die Elemente des Audituniversumsangezeigt, die zu dieser Geschäftsentität oder allenNachkommengeschäftsentitäten gehören. Dieser Bericht wird ineinem frühen Planungsstadium des Jahres verwendet, um dieElemente des Audituniversums zu bestimmen, die in diesemJahr geprüft werden sollen.

Auditplan Auditplan-Detail Dieser Bericht stellt für die ausgewählte Organisation und fürden ausgewählten Datumsbereich eine GANTT-Diagrammansicht des Auditplans bereit.

Innerhalb einer Geschäftsentität und eines Datumsbereichs kannein Benutzer Informationen nach Tag, Woche, Monat oder Quar-tal anzeigen. Der ausgewählte Datumsbereich zeigt den aktuel-len Jahresplan, den 3- oder 5-Jahresplan oder den geplantenZeitrahmen an. Wenn Sie den Bericht anzeigen, können Sie sichdie Detailansicht ansehen, um Details zu jedem geplanten Auditfür jede auditierbare Entität zu erhalten. Zeigen Sie dieAuswertungsansicht an, um das Rollup der Audits für jedeauditierbare Entität anzusehen. Wenn sich das geplanteStartdatum und das geplante Enddatum mit einer Zelle über-schneiden, wird die gesamte Zelle hervorgehoben. Rot hervor-gehobene Auswertungszellen geben an, dass mehr als ein Auditfür diesen Zeitraum für die entsprechende auditierbare Entitätgeplant ist. Der Bericht wird so gefiltert, dass nur die Auditsangezeigt werden, deren Status 'Geplant' lautet.


Tabelle 34. Auditmanagementberichte (Forts.)


Auditorplan Auditorplan-Detail Dieser Bericht stellt für die ausgewählte Auditorganisation, fürdie ausgewählten Auditoren und für den ausgewähltenDatumsbereich eine GANTT-Diagrammansicht der Pläne bereit.

Innerhalb einer Geschäftsentität, eines Auditors und einesDatumsbereichs kann ein Benutzer Informationen nach Tag,Woche, Monat oder Quartal anzeigen. Die verfügbaren Audito-ren sind die Auditoren, die der ausgewählten Geschäftsentitätoder ihren Nachkommenelementen zugeordnet wurden. Derausgewählte Datumsbereich zeigt den aktuellen Jahresplan odergeplanten Zeitrahmen an. Beim Anzeigen des Berichts könnenSie zwischen der Detailansicht (Details zu jedem Plan pro Audi-tor) und der Auswertungsansicht (nur das Rollup der Pläne proAuditor) wechseln. Wenn ein Auditor für mehrere Pläne in ei-ner bestimmten Spalte eingeplant wurde, wird die gesamte Zel-le hervorgehoben. Rot hervorgehobene Auswertungszellengeben an, dass mehr als ein Plan für diesen Zeitraum für denentsprechende Auditor zugeordnet wurde. In diesem Berichtwird für Pläne die Information 'Zugewiesener Prozentsatz' nichtverwendet, um Konflikte zu bestimmen.

Auditübersicht v Detail für Audit-feststellungen

v Auditprobleme -Details

v Detail zu Audit-prüfungskommen-taren

Zeigen Sie für den ausgewählten Audit den Status seinerAuditabschnitte und Arbeitspapiere sowie die dazugehörigenFeststellungen, Probleme und Auditprüfungskommentare an.

Innerhalb des Audits umfasst der Bericht Feststellungen, Proble-me und Prüfungskommentare, die direkte untergeordnete Ele-mente des Audits, der Abschnitte und Arbeitspapiere sind.Beim Klicken auf die Anzahl der Probleme, Feststellungen oderAuditprüfungskommentare wird ein detaillierter Bericht gestar-tet, der weitere Details und Links zu den Objekten in der An-wendung enthält.

Bericht des internen Au-dits

Schließen Sie den Bericht für das ausgewählte Audit ab, ein-schließlich der Zusammenfassung für die Geschäftsleitung undder dazugehörigen Feststellungen und Probleme.

Innerhalb der auditierbaren Entität und dann des Audits. Ent-hält Feststellungen zu den Audits, Auditabschnitten und Ar-beitspapieren sowie Probleme, die zum Audit gehören.

Auditabweichung Zeigen Sie für das ausgewählte Audit die dazugehörigen Pläneund Auditabschnitte an, einschließlich Planungs- undBudgetinformationen, wobei signifikante Abweichungen hervor-gehoben werden.

In diesem Bericht werden die Pläne und Abschnitte für das aus-gewählte Audit angezeigt. Es sind Planungs- undBudgetinformationen enthalten und signifikante Abweichungenwerden hervorgehoben. Gelb hervorgehobene Zellen geben an,dass wichtige Informationen fehlen. Rot hervorgehobene Zellengeben an, dass eine ungünstige Planabweichung von mehr als20 % vorliegt. Innerhalb der auditierbaren Entität und dann desAudits. Beinhaltet das ausgewählte Audit sowie die Pläne undAuditabschnitte, die dem Audit direkt zugeordnet sind.


Tabelle 34. Auditmanagementberichte (Forts.)


Auditorabweichung Zeigen Sie für die ausgewählten Auditoren die geplanten undtatsächlichen Daten, Stunden und Kosten an.

Innerhalb der Geschäftsentität der Auditoren, des Auditors unddes Datumsbereichs. Die verfügbaren Auditoren sind die Audi-toren, die der ausgewählten Geschäftsentität oder ihrenNachkommenelementen zugeordnet wurden. Mit dem ausge-wählten Datumsbereich kann ein bestimmter Zeitrahmen ange-zeigt werden. Im Bericht werden die Pläne für jedenausgewählten Auditor angezeigt, einschließlich der geplanten,erwarteten und tatsächlichen Start- und Enddaten, der Anzahlder geplanten Stunden, der Anzahl der tatsächlichen erfasstenStunden sowie der Höhe der geplanten und tatsächlichen Spe-sen für jeden Plan pro Zeitraum. Rot hervorgehobene Zellengeben an, dass Abweichungen von mehr als 20 % zu den ge-planten Werten vorhanden sind. Enthält alle Pläne, bei denender Auditor der ausgewählte Auditor ist. Pläne, denen kein Au-ditor zugeordnet wurde, sind in diesem Bericht nicht enthalten.Der Bericht enthält eine Zusammenfassungszeile zu jedem Au-ditor und für den gesamten Bericht. Der Bericht liegtstandardmäßig im HTML-Format vor. Er ist jedoch auch imMicrosoft Excel-Format verfügbar.


Siehe „Hilfsprogramm für den Bericht zum Eintrag in dieZeiterfassungsliste” auf Seite 49.

Administratoreintrag indie Zeiterfassungsliste


Siehe „Hilfsprogramm für den Bericht zumAdministratoreintrag in die Zeiterfassungsliste” auf Seite 50.


Kapitel 7. Auslöser

Die IBM OpenPages GRC Platform-Lösungen enthalten eine Reihe von Auslösern.

Das Dokument IBM OpenPages GRC Platform - Lösungen - Auslöserdetails enthältweitere Details zu Auslösern.

In der folgenden Tabelle werden die Auslöser angegeben, die standardmäßig in je-der Lösung enthalten sind.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 35. Auslöser in IBM OpenPages GRC Platform-Lösungen

Auslöser MRG FCM ORM PCM ITG IAM

„Auslöser für Problemmanagement undKorrektur” auf Seite 71

X X X X X X

„Auslöser für die Selbstbeurteilungen vonRisiken und Kontrollen” auf Seite 75

X X X X X

„Lebenszyklussauslöser für Kontrollen”auf Seite 79

X X X X X X

„Visualisierungsauslöser” auf Seite 75 X X X X X

„Auslöser für KRI- undKPI-Lebenszyklus” auf Seite 75

X X X

„Auslöser für denVerlustereignislebenszyklus” auf Seite 76

X

„Auslöser für denFragebogenbeurteilungslebenszyklus” aufSeite 82

X X X X X

„Auslöser für Richtlinienimport” auf Seite83

X

„Auslöser zum Sperren von Richtlinien”auf Seite 85

X

„Auslöser für die Berechnungen von 'Au-dit - Risikobewertung'” auf Seite 85

X

„Auslöser zum automatischen Schließenvon Audits” auf Seite 85

X

„Auslöser für den Vorfalllebenszyklus”auf Seite 81

X X

Neue Lebenszyklusauslöser in Version 7.2.0.1Nach der Aktivierung der Lebenszyklusfunktion 7.2 in OpenPages muss jedes Ob-jekt geändert werden, das den neuen Lebenszyklus verwendet und bereits einenvorhandenen Lebenszyklus hat, damit die Feldgruppen und Felder des neuen Le-benszyklus genutzt werden können.

69

Auslöser stellen die Übergänge bereit, über die Probleme durch einen Untersu-chungslebenszyklus bewegt werden. Lebenszyklen definieren die Phasen, die einObjekttyp durchlaufen kann.

OpenPages Version 7.2.0.1 enthält drei neue Lebenszyklen: Kontrollen, Problemeund Verlustereignisse.

Weitere Informationen zu Auslösern bei Kontrollen finden Sie in „Lebenszykluss-auslöser für Kontrollen” auf Seite 79.

Probleme und Verlustereignisse besaßen vorhandene Auslöser zur Unterstützungdes vorhandenen Lebenszyklus der Objekte. Diese Auslöser wurden aktualisiert,damit die neuen Lebenszyklusfelder verwendet werden können. Wenn Sie dieseAuslöser in früheren Versionen als OpenPages Version 7.2.0.1 verwenden, müssenSie die entsprechenden Felder ändern, die für die Verlustereignisauslöser und Pro-blemauslöser in der Datei openpages-solutions.xml zuvor verwendet wurden.

Für Problemobjekte gibt es einen Auslöser, der ausgelöst wird, um einen Abschlusszu verhindern, falls dem Problem offene Aktionselemente zugeordnet sind. VorOpenPages Version 7.2.0.1 wurde dieser Auslöser durch das Feld OPSS-Iss:Statusgesteuert. Dieser Auslöser verwendet jetzt das Feld OPLC-Std:LCStatus und wirdjetzt ausgelöst, wenn das Problem an 'Abschluss anfordern' übergeben wird (an-statt geschlossen zu werden).

Weitere Informationen finden Sie in „Lebenszyklussauslöser für Probleme (ab Ver-sion 7.2.0.1)” auf Seite 73.

Vor OpenPages Version 7.2.0.1 überprüfte eine Auslöser für Verlustereignis-Objektedie Datumsfelder und füllte die Genehmiger-Felder für das Verlustereignis, wennder Benutzer das Feld OPSS-LossEv:Submit auf Ja festgelegt hat. Ab OpenPagesVersion 7.2.0.1 und höher wird der Auslöser jetzt beim Lebenszyklusübergang von'Geöffnet' zu 'Übergeben' ausgelöst, sodass der Auslöser beim Feld OPLC-Std:LC-Transition mit dem Wert Übergeben ausgewählt wird. Das Feld OPSS-LossEv-:Submit des Verlustereignisses ist nun redundant.

Ein zweiter Auslöser sperrte das Verlustereignis und seine untergeordneten Ele-mente nach dem Abschluss. Vor OpenPages Version 7.2.0.1 wurde dieser Auslöserfür das Feld OPLC-LossEv:Status mit dem Wert Genehmigt ausgelöst. Ab Open-Pages Version 7.2.0.1 und höher wird der Auslöser jetzt für das Feld OPLC-Std:LCStage mit dem Wert Geschlossen ausgelöst.

Weitere Informationen finden Sie in „Lebenszyklussauslöser für Verlustereignisse(ab Version 7.2.0.1)” auf Seite 77.

Vorhandene angepasste Kundenlösungen, die Auslöser, Feldabhängigkeiten, Aus-wahllisten oder Berichte haben, die Felder in Verbindung mit dem vorhandenenLebenszyklus der Objekte haben, müssen überprüft und aktualisiert werden. Felder(beispielsweise die Felder Status oder Verantwortlicher), die gegebenenfalls fürdas Objekt ersetzt werden sollen, müssen in der Konfiguration der vorhandenenLösung aktualisiert werden.

Objekttypen mit AuslösernBevor Sie das ObjectManager-Tool verwenden, um XML-Instanzdaten zu laden,müssen Sie zuerst die Auslöser für alle Objekttypen inaktivieren, für die Sie Datenladen möchten.


In der folgenden Tabelle werden die Objekttypen aufgeführt, in denen standardmä-ßig Auslöser enthalten sind.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabelle 36. Objekttypen mit Auslösern in IBM OpenPages GRC Platform-Lösungen

Objekttyp MRG FCM ORM PCM ITG IAM

Dateneingabe X X X X X

Datenausgabe X X X X X

Risiko X X X X X

Problem X X X X X X

Aktionselement X X X X X X

Kontrolle X X X X X X

Fragebogenbeurteilung X X X X X

Verlustereignis X

Verlusteinfluss X

Verlusterstattung X

KPI-Wert X X X

KRI-Wert X X X

Datei (SOXDocument) X

Richtlinie X

Audit X

Auditprüfungskommentar X

Auditabschnitt X

Feststellung X

Plan X

Zeiterfassungsliste X

Arbeitspapier X X

Vorfall X X

Auslöser für Problemmanagement und KorrekturIn einem IMR-Framework (Issue Management and Remediation, Problemmanage-ment und Korrektur) können Sie Probleme effektiv dokumentieren, überwachen,korrigieren und prüfen.

Probleme sind Elemente, die für ein dokumentiertes Framework identifiziert wer-den und sich negativ auf die Funktionalität auswirken, Risiken zu verwalten undzu dokumentieren. Das Problem kann sich in seinem Lebenszyklus in einer der fol-genden zwei Phasen befinden: 'Geöffnet' oder 'Geschlossen'.

Kapitel 7. Auslöser 71

Um das identifizierte Problem zu beheben, erstellt der Problemverantwortliche ent-sprechende Aktionen und zeichnet diese auf. Wenn eine Aktion abgeschlossen ist,legt der Verantwortliche die Aktion auf Zur Genehmigung übergeben fest. Wenndas Feld gespeichert wird, wird ein Auslöser gestartet und es werden folgende Ak-tionen ausgeführt:v Der Wert im Feld Problemverantwortlicher wird vom übergeordneten Problem

in das Aktionsfeld Problemverantwortlicher für Genehmigung kopiert.v Das Feld Aktionsstatus wird auf Warten auf Genehmigung festgelegt.v Es wird eine E-Mail an den Problemverantwortlichen mit der Information gesen-

det, dass eine Aktion auf seine Genehmigung wartet.

Der Problemverantwortliche prüft die Aktion und genehmigt im FeldGenehmigen/Ablehnen das Schließen des Problems oder lehnt das Schließen desProblems ab.

Wenn der Problemverantwortliche Genehmigen auswählt, wird ein Auslöser ge-startet und das Feld Status wird auf Geschlossen festgelegt.

Wenn der Problemverantwortliche Ablehnen auswählt, wird ein Auslöser gestartetund es werden folgende Aktionen ausgeführt:v Das Statusfeld wird auf Geöffnet zurückgesetzt.v Das Feld Zur Genehmigung übergeben wird auf Nein festgelegt.v Es wird eine E-Mail an den Verantwortlichen für die Aktion mit der Information

gesendet, dass die Aktion abgelehnt wurde.

Mit den folgenden Auslösern wird der Problemmanagementprozess automatisiert:v „Auslöser für den Problemlebenszyklus”v Lebenszyklus der Aktion

Auslöser für den ProblemlebenszyklusDer Auslöser für den Problemlebenszyklus legt das Ursprüngliches Fälligkeitsda-tum auf die erste Instanz beim Speichern des Problems fest und prüft, ob offeneAktionen vorhanden sind, wenn der Problemstatus Geschlossen lautet.

Achtung: Ab OpenPages Version 7.2.0.1 wird ein aktualisierter Auslöser bei Prob-lemen verwendet. Weitere Informationen finden Sie in „Lebenszyklussauslöser fürProbleme (ab Version 7.2.0.1)” auf Seite 73.

Wenn ein Problem-Objekttyp erstellt oder aktualisiert wird und der Status auf Ge-schlossen festgelegt wird, führt der Auslöser folgende Aktionen aus:v Der Auslöser prüft alle direkten untergeordneten Aktionen und bestimmt, ob sie

alle geschlossen sind. Wenn eine der Aktionen den Status Geöffnet oder Wartenauf Genehmigung hat, generiert der Auslöser eine Fehlermeldung. Wenn alleAktionen geschlossen sind, speichert der Auslöser die Änderungen.

Anmerkung: Als Administrator können Sie die Fehlermeldung über das MenüAdministrator > Einstellungen konfigurieren.

v Wenn Ursprüngliches Fälligkeitsdatum für Problem leer ist, gibt der Auslöserfür Ursprüngliches Fälligkeitsdatum den Wert von Aktuelles Fälligkeitsdatumein.


Lebenszyklussauslöser für Probleme (ab Version 7.2.0.1)Auslöser stellen die Übergänge bereit, über die Probleme durch einen Untersu-chungslebenszyklus bewegt werden. Lebenszyklen definieren die Phasen, die einObjekttyp durchlaufen kann. In jeder Phase führt das System die folgenden Aktio-nen durch:v Angeben eines Lebenszyklusverantwortlichenv Definieren von Aktionen, die zum Verschieben in eine andere Phase zur Verfü-

gung stehenv Automatisches Senden einer E-Mail an den neuen Lebenszyklusverantwortlichenv Definieren von anderen Attributen, die sich auf die aktuelle Phase beziehen

Phasen des Lebenszyklus bei Problemen:v Neuv In Bearbeitungv Anforderung zum Schließenv Anforderung zum Ändern des Fälligkeitsdatumsv Anforderung geschlossen

Wenn ein Problem erstellt wird, setzt das System den Lebenszyklus auf die Phase'Neu' und sendet eine E-Mail an den ersten Lebenszyklusverantwortlichen. Wennder Benutzer die Aufgabe ausgeführt hat, verschiebt der Auslöser das Objekt zurnächsten Aufgabe und zum nächsten Benutzer. Der Benutzer kann bei jedem Über-gang einen Kommentar hinzufügen. Zu Übergängen kommt es, wenn ein Benutzerin der Detailansicht ein Problemobjekt öffnet und auf Lebenszyklus > <Übergangs-symbol> klickt. Die Phase legt fest, welches Übergangssymbol angezeigt wird.

Achtung: Für Problemobjekte gibt es einen Auslöser, der ausgelöst wird, um ei-nen Abschluss zu verhindern, falls dem Problem offene Aktionselemente zugeord-net sind. Vor OpenPages Version 7.2.0.1 wurde dieser Auslöser durch das FeldOPSS-Iss:Status gesteuert. Ab OpenPages Version 7.2.0.1 und höher wurde derAuslöser aktualisiert. Er verwendet das Feld OPLC-Std:LCStatus und wird jetztausgelöst, wenn das Problem an Abschluss anfordern übergeben wird (anstatt ge-schlossen zu werden).

Die folgende Tabelle enthält eine Übersicht darüber, wie das System Problemehandhabt und den Lebenszyklusverantwortlichen festlegt. Die Spalte mit demÜbergangssymbol enthält den Namen des <Übergangssymbols> für den Lebenszyk-lus in der Ansicht 'Problem - Details', auf das der Benutzer klickt, um den Über-gang in die nächste Phase auszulösen.

Tabelle 37. Lebenszyklusprozess und Phaseneigentümer bei Problemen

PhaseLebenszyklus-verantwortlicher Übergangssymbol Nächste Phase Nächster Status

Neu Problemverant-wortlicher

Start In Bearbeitung In Bearbeitung

In Bearbeitung Problemverant-wortlicher

Abschluss anfordern Anforderung zum Schließen Anforderung zumSchließen läuft

In Bearbeitung Problemverant-wortlicher

Änderung desFälligkeitsdatumsanfordern

Anforderung zum Änderndes Fälligkeitsdatums

Anforderung zumÄndern desFälligkeitsdatumsläuft


Tabelle 37. Lebenszyklusprozess und Phaseneigentümer bei Problemen (Forts.)


Anforderungzum Schließen

Genehmigende Per-son für Problem

Anforderung zumSchließen verweigert

In Bearbeitung Anforderung zumSchließen verwei-gert

Anforderungzum Schließen


Schließen genehmigen Geschlossen Geschlossen

Anforderungzum Änderndes Fällig-keitsdatums


Änderung desFälligkeitsdatumsverweigert

In Bearbeitung Änderung des Da-tums verweigert

Anforderungzum Änderndes Fällig-keitsdatums


Änderung desFälligkeitsdatumsgewährt

In Bearbeitung Änderung des Da-tums gewährt

Geschlossen (nicht zugewiesen) Erneut öffnen In Bearbeitung Erneut geöffnet

Bei den Übergängen Abschluss anfordern oder Änderung des Fälligkeitsdatumsanfordern legt der Auslöser das Fälligkeitsdatum standardmäßig auf 14 Tage nachdem Einreichungsdatum fest. Wenn eine Änderung des Fälligkeitsdatums gewährtwird, aktualisiert der Auslöser das Fälligkeitsdatum des Problems mit dem Datum,das im Feld 'Angefordertes Fälligkeitsdatum' angegeben ist und setzt das Fällig-keitsdatum der Anforderung zurück.

Der Auslöser legt das Fälligkeitsdatum des Lebenszyklus auf 14 Tage nach demÜbergabedatum fest.

Der Auslöser legt das Fälligkeitsdatum des Problems auf das angeforderte Fällig-keitsdatum nach der gewährten Änderung des Fälligkeitsdatums fest.

Der Auslöser tritt auf, wenn der Benutzer den Problemlebenszyklus von 'In Bear-beitung' zu Änderung des Fälligkeitsdatums anfordern und zu Abschluss anfor-dern oder von Änderung des Fälligkeitsdatums anfordern zu Änderung des Fäl-ligkeitsdatums gewährt übergibt.

Benachrichtigung über Probleme

Im Rahmen der Benachrichtigung zu Problemen wird eine E-Mail an einen Lebens-zyklusverantwortlichen gesendet, wenn ein Problem für jeden Übergang im Prob-lemlebenszyklus erstellt wird. Ein Übergang tritt auf, wenn ein Benutzer in der De-tailansicht für Probleme auf ein Übergangssymbol (Lebenszyklus > Start,Abschluss anfordern, Änderung des Fälligkeitsdatums anfordern, Anforderungzum Schließen verweigert, Schließen genehmigen, Änderung des Datums ver-weigert, Änderung des Fälligkeitsdatums gewährt oder Erneut öffnen) klickt.

Die Benachrichtigung für Probleme wird durch den Auslöser für den Problemle-benszyklus gestartet. Die E-Mail-Benachrichtigung enthält die Phase, den Status,das Fälligkeitsdatum, einen Kommentar und einen Link zum Problem.

Der Link zum Problem kann entweder die Detailseite in OpenPages, die Genehmi-gungs-App oder beides sein. Welche Links einbezogen werden, wird von der Aus-wahlliste AppData für das Problem definiert und über das Feld Phase gesteuert.


Auslöser für die Selbstbeurteilungen von Risiken und KontrollenDer Risikobeurteilungsprozess wird verwendet, um ein Risikoprofil eines Geschäftszu identifizieren, zu bewerten und zu quantifizieren. Jedes Risiko wird entwederauf qualitativer oder quantitativer Basis bewertet.

Auslöser stellen den Prozess-Workflow für die Risikokontrolle und Selbstbeurtei-lung des Geschäfts bereit.

Beim Speichern eines Risikos bestimmt der Auslöser der qualitativen Risikobewer-tung, ob das Risiko mit 'Niedrig', 'Mittel' oder 'Sehr hoch' bewertet wird. Der Aus-löser füllt außerdem die ausgeblendeten Felder 'Quantitativ' aus: Schweregrad,Häufigkeit und Gefährdung.

Beim Speichern eines Risikos führt der Auslöser der quantitativen Risikobewertungfolgende Aktionen aus:1. Die Gefährdung wird berechnet (Häufigkeit x Schweregrad).2. Die Risiken werden mit 'Niedrig', 'Mittel' oder 'Sehr hoch' bewertet.3. Der Einflusswert (1 bis 10) wird anhand einer Zuordnungstabelle für jede Ge-

schäftseinheit, die im Vorgabendatensatz gespeichert ist, abgeleitet.4. Der Wahrscheinlichkeitswert (1 bis 10) wird anhand einer Zuordnungstabelle

für jede Geschäftseinheit, die im Vorgabendatensatz gespeichert ist, abgeleitet.

Folgende Auslöser werden für die Selbstbeurteilungen von Risiken und Kontrollenverwendet:v Auslöser für quantitative RCSAv Auslöser für qualitative RCSAv Auslöser für die Risikogenehmigungsübergabev Auslöser für die Genehmigung von RCSA-Risiken und -Kontrollen

VisualisierungsauslöserDie Visualisierungsauslöser verhindern, dass ein Benutzer neue Risiken als unter-geordnete Elemente der Objekttypen 'Dateneingabe' und 'Datenausgabe' hinzufügt.Die Objekte 'Dateneingabe' und 'Datenausgabe' sind untergeordnete Elemente desProzesses und können nur Zuordnungen zu vorhandenen Risiken haben. Das Ob-jekt 'Dateneingabe' stellt Elemente eines Ablaufs dar, um eine Eingabe in einemGeschäftsablauf darzustellen. Das Objekt 'Datenausgabe' stellt eine Ausgabe vonAktivitäten innerhalb eines Prozesses dar, z. B. das Ausführen eines Berichts oderdas Aktualisieren eines CRM-Systems.

Risiken können nur als untergeordnete Elemente dieser Objekttypen hinzugefügtwerden, indem ihnen vorhandene Risiken zugeordnet werden. Die Objekttypen'Dateneingabe' und 'Datenausgabe' können keine primären übergeordneten Eleme-ten von Risiken sein.

Auslöser für KRI- und KPI-LebenszyklusDie Auslöser für den KRI- und KPI-Lebenszyklus berechnen und verwalten Feld-werte für die Objekttypen 'KRI/KPI' bzw. 'KRI/KPI-Wert'. Der Auslöser tritt nurauf, wenn für den Erfassungsstatus des KRI- bzw. KPI-Werts 'Erfasst' festgelegtwird.


Wenn ein KRI- oder KPI-Wertobjekt aktualisiert, zugeordnet oder seine Zuordnungaufgehoben wird, führt der Auslöser folgende Aktionen aus:1. Es wird festgelegt, ob der KRI oder KPI zur Genehmigung festgelegt wurde.v Wenn der Status Ja lautet, aktualisiert der Auslöser den Status auf Warten

auf Genehmigung und fährt mit den Schritten 2, 3, 4 und 6 fort.v Wenn der Status Nein lautet, aktualisiert der Auslöser den Status von War-

ten auf Genehmigung auf Erfasst und fährt mit den Schritten 2, 3, 4 und 5fort.

2. Die aktuellen Schwellenwertinformationen werden vom KRI bzw. KPI zum un-tergeordneten KRI- bzw. KPI-Wert kopiert.

3. Der Übertretungsstatus wird ausgewertet.4. Der KRI-Wert bzw. der KPI-Wert, das Wertdatum, der Erfassungsstatus und

der Übertretungsstatus werden zum übergeordneten KRI oder KPI kopiert.5. Wenn das Feld des KRI-Übertretungsstatus bzw. KPI-Übertretungsstatus sich

von Grün oder Gelb zu Rot ändert, sendet der Auslöser eine E-Mail-Benach-richtigung an den Risikoverantwortlichen, um ihn über die Übertretung zu in-formieren.

6. Wenn der Status auf Warten auf Genehmigung festgelegt wurde, wird derKRI- bzw. KPI-Wert auf der Startseite des KRI- bzw. KPI-Eigentümers ange-zeigt. Der KRI- oder KPI-Eigentümer kann den Wert genehmigen oder ableh-nen:v Wenn der KRI- bzw. KPI-Eigentümer den Datensatz mit dem Status Ableh-

nen speichert, sind der KRI-Wert bzw. KPI-Wert und das Wertdatum leerund der KRI- bzw. KPI-Wertstatus wird auf Warten auf Erfassung festgelegt.

v Wenn der KRI- bzw. KPI-Eigentümer den Datensatz mit dem Status Geneh-migt speichert, ändert sich der Erfassungsstatus in Erfasst im Feld Wert undim KRI bzw. KPI.

Anmerkung: Wenn der KRI- bzw. KPI-Eigentümer den KRI oder KPI definiert,kann er die Details der Genehmigung angeben.

Auslöser für den VerlustereignislebenszyklusDie Auslöser für den Verlustereignislebenszyklus berechnen und verwalten dreiFelder für das Objekt 'Verlustereignis', wenn zusammengehörige Felder für dieNachkommenobjekte 'Verlusteinfluss' und 'Verlusterstattung' erstellt oder geändertwerden.

Die Auslöser automatisieren den Genehmigungsprozess und die Korrekturleistungvon Verlustereignissen, wie in den Auslösern für die Genehmigungseinreichungbzw. Genehmigung für Verlustereignisse beschrieben.

Der Verlustereignis-Lebenszyklusprozess besteht aus drei Auslösern:v „Auslöser für die Verlustereignisberechnung”v „Auslöser für die Verlustereignis-Genehmigungsübergabe” auf Seite 77v „Auslöser 'Verlustereignis - Genehmigung'” auf Seite 77

Auslöser für die VerlustereignisberechnungDer Auslöser für die Verlustereignisberechnung berechnet Auswertungswerte inder Basiswährung des Systems für ein Verlustereignis, das auf dem zugehörigenVerlusteinfluss und auf den Rückerstattungen basiert.


Auslöser für die Verlustereignis-GenehmigungsübergabeDer Auslöser für die Verlustereignis-Genehmigungsübergabe ändert ein Verluster-eignis in seinem Lebenszyklus vom Status 'Geöffnet' zu 'Genehmigt'. Der Auslöservalidiert Daten.

Der Auslöser tritt auf, wenn der Benutzer den Verlustereignis-Lebenszyklus vonGeöffnet zu Übergeben übergibt.

Der Auslöser legt das Fälligkeitsdatum des Lebenszyklus auf 14 Tage nach demÜbergabedatum fest.

Auslöser 'Verlustereignis - Genehmigung'Der Auslöser sperrt das Verlustereignis und alle untergeordneten Einflüsse undRückerstattungen.

Der Auslöser tritt auf, wenn der Benutzer den Verlustereignis-Lebenszyklus vonGeöffnet oder Warten auf Genehmigung zu Geschlossen übergibt.

Lebenszyklussauslöser für Verlustereignisse (ab Version 7.2.0.1)Auslöser stellen die Übergänge bereit, über die Verlustereignisse durch einen Un-tersuchungslebenszyklus bewegt werden. Lebenszyklen definieren die Phasen, dieein Objekttyp durchlaufen kann. In jeder Phase führt das System die folgenden Ak-tionen durch:v Angeben eines Lebenszyklusverantwortlichenv Definieren von Aktionen, die zum Verschieben in eine andere Phase zur Verfü-


Phasen des Lebenszyklus bei Verlustereignissen:v Neuv Geöffnetv Warten auf Genehmigungv Warten auf Genehmigung - Ebene 1v Warten auf Genehmigung - Ebene 2v Geschlossen

Wenn ein Verlustereignis erstellt wird, setzt das System den Lebenszyklus auf diePhase 'Neu' und sendet eine E-Mail an den ersten Lebenszyklusverantwortlichen.Wenn der Benutzer die Aufgabe ausgeführt hat, verschiebt der Auslöser das Objektzur nächsten Aufgabe und zum nächsten Benutzer. Der Benutzer kann bei jedemÜbergang einen Kommentar hinzufügen. Zu Übergängen kommt es, wenn ein Be-nutzer in der Detailansicht ein Verlustereignisobjekt öffnet und auf Lebenszyklus ><Übergangssymbol> klickt. Die Phase legt fest, welches Übergangssymbol angezeigtwird.


Achtung: Vor OpenPages Version 7.2.0.1 überprüfte eine Auslöser für Verluster-eignis-Objekte die Datumsfelder und füllte die Genehmiger-Felder für das Verlus-tereignis, wenn der Benutzer das Feld OPSS-LossEv:Submit auf Ja festgelegt hat.Ab OpenPages Version 7.2.0.1 und höher wird der Auslöser jetzt beim Lebenszyk-lusübergang von 'Geöffnet' zu 'Übergeben' ausgelöst, sodass der Auslöser beimFeld OPLC-Std:LCTransition mit dem Wert Übergeben ausgewählt wird. Das FeldOPSS-LossEv:Submit des Verlustereignisses ist nun redundant.

Ein zweiter Auslöser sperrte das Verlustereignis und seine untergeordneten Ele-mente nach dem Abschluss. Vor OpenPages Version 7.2.0.1 wurde dieser Auslöserfür das Feld OPLC-LossEv:Status mit dem Wert Genehmigt ausgelöst. Ab Open-Pages Version 7.2.0.1 und höher wird der Auslöser jetzt für das Feld OPLC-Std:LCStage mit dem Wert Geschlossen ausgelöst.

Die folgende Tabelle enthält eine Übersicht darüber, wie das System Verlustereig-nisse handhabt und den Lebenszyklusverantwortlichen festlegt. Die Spalte mit demÜbergangssymbol enthält den Namen des <Übergangssymbols> für den Lebenszyk-lus in der Ansicht 'Verlustereignis - Details', auf das der Benutzer klickt, um denÜbergang in die nächste Phase auszulösen.

Tabelle 38. Lebenszyklusprozess und Phaseneigentümer bei Verlustereignissen


Neu Eigentümer Start Geöffnet Geöffnet

Geöffnet Eigentümer Übergeben Geschlossen Geschlossen

Geöffnet Eigentümer Übergeben Warten auf Genehmigung Warten auf Geneh-migung

Geöffnet Eigentümer Übergeben Warten auf Genehmigung -Ebene 1

Warten auf Geneh-migung - Ebene 1

Warten aufGenehmigung

Genehmigende Per-son

Genehmigung ablehnen Geöffnet Genehmigung abge-lehnt

Warten aufGenehmigung


Phase 1 schließen Geschlossen 1 Ebene genehmigt

Warten aufGenehmigung- Ebene 1


Genehmigung der Ebene2 veranlassen

Eskalationsprüfung Eskalationsprüfung



Genehmigung der Ebene1 ablehnen

Geöffnet Genehmigung vonEbene 1 abgelehnt


Genehmigende Per-son der Ebene 2

Phase 2 schließen Geschlossen 2 Ebenen geneh-migt



Zur Genehmigung anEbene 1 zurücksenden

Warten auf Genehmigung -Ebene 1

Zurücksenden anEbene 1



Genehmigung der Ebene2 ablehnen

Geöffnet Genehmigung vonEbene 2 abgelehnt

Beim Übergang Übergeben vergleicht der Auslöser den Bruttoverlust mit denSchwellenwerten, die im Vorgabedatensatz enthalten sind und mit der nächstenGeschäftsentität zum Verlustereignis zugeordnet sind. Bei einem Bruttoverlust mit


einen kleineren Schwellenwert als 1, wird das Verlustereignisse in die Phase 'Ge-schlossen' übergeben. (Dies ist ein Verlustereignis mit dem Lebenszyklus mit 0Phasen.)

Bei Verlustereignissen mit einem Bruttoverlust mit Schwellenwert größer als 1 undmit Schwellenwert kleiner als 2 wird das Feld Genehmigt von aus dem Vorgabe-datendatz zum Verlustereignis kopiert. Das Verlustereignis wird in die Phase 'War-ten auf Genehmigung' übergeben. (Dies ist ein Verlustereignis mit dem Lebenszyk-lus mit 1 Phase.) Der Auslöser legt das Fälligkeitsdatum standardmäßig auf 14Tage nach dem Übergabedatum fest.

Bei Verlustereignissen mit einem Bruttoverlust mit Schwellenwert größer als 2 wer-den die zwei Felder Genehmigt von und Genehmigende Person der Ebene 2 ausdem Vorgabedatendatz zum Verlustereignis kopiert. Das Verlustereignis wird in diePhase 'Warten auf Genehmigung - Ebene 1' übergeben. (Dies ist ein Verlustereignismit dem Lebenszyklus mit 2 Phasen.) Der Auslöser legt das Fälligkeitsdatum stan-dardmäßig auf 14 Tage nach dem Übergabedatum fest.

Wenn das Verlustereignis zurück in die Phase 'Geöffnet' übergeben wird, wird derAuslöser erneut für Übergeben ausgeführt und kann den Lebenszyklus ändern,wenn sich der Bruttoverlust geändert hab. Wenn das Verlustereignis in die Phase'Geschlossen' übergeben wird, schließt und sperrt der Auslöser alle untergeordne-ten Einflüsse und Rückerstattungen. Der Auslöser sperrt dann das Verlustereignis.

Verlustereignisbenachrichtigung

Im Rahmen der Verlustereignisbenachrichtigung wird eine E-Mail an einen Lebens-zyklusverantwortlichen gesendet, wenn ein Verlustereignis für jeden Übergang imVerlustereignislebenszyklus erstellt wird. Ein Übergang triff auf, wenn ein Benutzerauf in der Detailansicht für Verlustereignisse auf ein Übergangssymbol (Lebenszyk-lus > Start, Übergeben, Genehmigung ablehnen, Phase 1 schließen, Genehmi-gung der Ebene 2 veranlassen, Genehmigung der Ebene 1 ablehnen, Phase 2schließen, Genehmigung der Ebene 1 erneut veranlassen oder Genehmigung derEbene 2 ablehnen) klickt.

Die Verlustereignisbenachrichtigung wird durch den Auslöser des Verlustereignisle-benszyklus gestartet. Die E-Mail-Benachrichtigung enthält die Phase, den Status,das Fälligkeitsdatum, einen Kommentar und einen Link zum Verlustereignis.

Der Link zum Verlustereignis kann entweder die Detailseite in OpenPages, die Ge-nehmigungs-App oder beides sein. Welche Links einbezogen werden, wird von derAuswahlliste AppData im Verlustereignis definiert und über das Feld Phase ge-steuert.

Lebenszyklussauslöser für KontrollenAuslöser stellen die Übergänge bereit, über die Kontrollen durch einen Attestie-rungslebenszyklus bewegt werden. Lebenszyklen definieren die Phasen, die einObjekttyp durchlaufen kann. In jeder Phase führt das System die folgenden Aktio-nen durch:v Angeben eines Lebenszyklusverantwortlichenv Definieren von Aktionen, die zum Verschieben in eine andere Phase zur Verfü-



Phasen des Lebenszyklus bei Kontrollen:v Neuv In Bearbeitungv Attestierungv Geschlossen

Wenn eine Kontrolle erstellt wird, setzt das System den Lebenszyklus auf die Pha-se 'Neu' und sendet eine E-Mail an den ersten Lebenszyklusverantwortlichen.Wenn der Benutzer die Aufgabe ausgeführt hat, verschiebt der Auslöser das Objektzur nächsten Aufgabe und zum nächsten Benutzer. Der Benutzer kann bei jedemÜbergang einen Kommentar hinzufügen. Zu Übergängen kommt es, wenn ein Be-nutzer in der Detailansicht ein Kontrollobjekt öffnet und auf Lebenszyklus ><Übergangssymbol> klickt. Die Phase legt fest, welches Übergangssymbol angezeigtwird.

Die folgende Tabelle enthält eine Übersicht darüber, wie das System Kontrollenhandhabt und den Lebenszyklusverantwortlichen festlegt. Die Spalte mit demÜbergangssymbol enthält den Namen des <Übergangssymbols> für den Lebenszyk-lus in der Ansicht 'Kontrolle - Details', auf das der Benutzer klickt, um den Über-gang in die nächste Phase auszulösen.

Tabelle 39. Lebenszyklusprozess und Phaseneigentümer bei Kontrollen


Neu Kontrollverantwortlicher Start In Bearbeitung In Bearbeitung

In Bearbei-tung

Kontrollverantwortlicher Zur Attestierung über-geben

Attestierung Attestierung läuft

Attestierung Kontrollattestierer Zurücksenden In Bearbeitung Attestierung abge-lehnt

Attestierung Kontrollattestierer Attestieren Geschlossen Geschlossen

Geschlossen (nicht zugewiesen) Erneut öffnen In Bearbeitung Erneut geöffnet

Kontrollbenachrichtigung

Im Rahmen der Kontrollbenachrichtigung wird eine E-Mail an einen Lebenszyklus-verantwortlichen gesendet, wenn eine Kontrolle für jeden Übergang im Kontrollle-benszyklus erstellt wird. Ein Übergang triff auf, wenn ein Benutzer in der Detailan-sicht für die Kontrolle auf ein Übergangssymbol (Lebenszyklus > Start, ZurAttestierung übergeben , Zurücksenden, Attestieren oder Erneut öffnen) klickt.

Die Kontrollbenachrichtigung wird durch den Auslöser für den Kontrolllebenszyk-lus gestartet. Die E-Mail-Benachrichtigung enthält die Phase, den Status, das Fällig-keitsdatum, einen Kommentar und einen Link zum Vorfall.

Der Link zur Kontrolle kann entweder die Detailseite in OpenPages, die Genehmi-gungs-App oder beides sein. Welche Links einbezogen werden, wird von der Aus-wahlliste AppData in der Kontrolle definiert und über das Feld Phase gesteuert.


Auslöser für den VorfalllebenszyklusAuslöser stellen die Übergänge bereit, über die Vorfälle durch einen Untersu-chungslebenszyklus bewegt werden. Lebenszyklen definieren die Phasen, die einObjekttyp durchlaufen kann. In jeder Phase führt das System die folgenden Aktio-nen durch:v Angeben eines Lebenszyklusverantwortlichenv Definieren von Aktionen, die zum Verschieben in eine andere Phase zur Verfü-


Phasen des Lebenszyklus bei Vorfällen:v Neuv In Bearbeitungv Überprüfungv Eskalationv Eskalationsprüfungv Geschlossen

Wenn ein Vorfall erstellt wird, setzt das System den Lebenszyklus auf die Phase'Neu' und sendet eine E-Mail an den ersten Lebenszyklusverantwortlichen. Wennder Benutzer die Aufgabe ausgeführt hat, verschiebt der Auslöser das Objekt zurnächsten Aufgabe und zum nächsten Benutzer. Der Benutzer kann bei jedem Über-gang einen Kommentar hinzufügen. Zu Übergängen kommt es, wenn ein Benutzerin der Detailansicht ein Objekt 'Vorfall' öffnet und auf das Lebenszyklus-Über-gangssymbol klickt. Die Phase legt fest, welches Übergangssymbol angezeigt wird.

Die folgende Tabelle enthält eine Übersicht darüber, wie das System Vorfälle hand-habt und den Lebenszyklusverantwortlichen festlegt. Die Spalte mit dem Über-gangssymbol enthält den Namen des Lebenszyklus > <Übergangssymbol> in derAnsicht 'Vorfall - Details', auf den der Benutzer klickt, um den Übergang in dienächste Phase auszulösen.

Tabelle 40. Lebenszyklusprozess und Phaseneigentümer bei Vorfällen

PhaseLebenszyklusver-antwortlicher Übergangssymbol Nächste Phase Nächster Status

Neu Primärer Eigentü-mer

Start In Bearbeitung In Bearbeitung

In Bearbei-tung

Primärer Eigentü-mer

Prüfung veranlassen Überprüfung In Prüfung

Eskalieren Eskalation Eskaliert

Überprüfung Prüfer Prüfung - Ablehnen In Bearbeitung Überprüfung abge-lehnt

Prüfung - Schließen Geschlossen Geschlossen

Eskalation Geschäftlicher Ver-antwortlicher

Eskalationsprüfung ver-anlassen

Eskalationsprüfung Eskalationsprüfung

Deeskalieren In Bearbeitung Deeskaliert

Eskalations-prüfung

Prüfer Eskalationsprüfung -Schließen

Geschlossen Eskaliert und Ge-schlossen


Tabelle 40. Lebenszyklusprozess und Phaseneigentümer bei Vorfällen (Forts.)

PhaseLebenszyklusver-antwortlicher Übergangssymbol Nächste Phase Nächster Status

Eskalationsprüfung -Ablehnen

Eskalation Eskalationsprüfung- Abgelehnt

Geschlossen Keine Erneut öffnen In Bearbeitung Erneut geöffnet

Auslöser für den FragebogenbeurteilungslebenszyklusMit Fragebogenbeurteilungen können Informationen von Geschäftsbenutzern imUnternehmen gesammelt werden. Auslöser stellen die Übergänge bereit, über dieFragebogenbeurteilungen durch einen Lebenszyklus bewegt werden. Lebenszyklendefinieren die Phasen, die ein Objekttyp durchlaufen kann. In jeder Phase führt dasSystem die folgenden Aktionen durch:v Angeben eines Lebenszyklusverantwortlichenv Definieren von Aktionen, die zum Verschieben in eine andere Phase zur Verfü-


Der Lebenszyklus wird im Programm ausgewählt. Er kann folgende Merkmaleaufweisen:v Zweiphasig: Informationserfassung - Geschlossenv Dreiphasig: Informationserfassung - Überprüfung - Geschlossenv Vierphasig: Informationserfassung - Überprüfung - Genehmigung - Geschlossen

Beim Starten eines Programms erstellt das System ein Objekt 'Fragebogenbeurtei-lung' pro Mitarbeiter, Ressource, Prozess, Unterprozess Anbieter oder Projekt imProgramm. Es setzt den Lebenszyklus auf die Phase 'Informationserfassung' undsendet eine E-Mail an den ersten Lebenszyklusverantwortlichen. Wenn der Benut-zer die Aufgabe ausgeführt hat, verschiebt der Auslöser das Objekt zur nächstenAufgabe und zum nächsten Benutzer. Der Benutzer kann bei jedem Übergang ei-nen Kommentar hinzufügen. Übergänge treten auf, wenn ein Benutzer mit Frage-bogenbeurteilungen in der Fragebogen-UI arbeiten.

In der folgenden Tabelle sind die Lebenszyklen für Fragebogenbeurteilungen zu-sammengefasst. Die Spalte mit dem Übergangssymbol enthält den Namen desSymbols in der Fragebogen-UI, auf den der Benutzer klickt, um den Übergang indie nächste Phase auszulösen.

Tabelle 41. Lebenszyklusprozess bei Fragebogenbeurteilungen

Lebenszyklus Phase Übergangssymbol Nächste Phase Nächster Status

Zweiphasig Informationserfassung Übergeben und schließen Geschlossen Abgeschlossen

Dreiphasig Informationserfassung Übergeben Überprüfung In Prüfung

Überprüfung Aktion > Ablehnen Informationserfassung Abgelehnt

Aktion > Genehmigen undschließen

Geschlossen Abgeschlossen

Vierphasig Informationserfassung Übergeben Überprüfung In Prüfung

Überprüfung Aktion > Ablehnen Informationserfassung Abgelehnt

Aktion > Zur Genehmigungübergeben

Genehmigung In Genehmigung


Tabelle 41. Lebenszyklusprozess bei Fragebogenbeurteilungen (Forts.)

Lebenszyklus Phase Übergangssymbol Nächste Phase Nächster Status

Genehmigung Aktion > Ablehnen Überprüfung Genehmigung abge-lehnt

Aktion > Genehmigen Geschlossen Abgeschlossen

Bei Fragebogenbeurteilungen bestimmen die zugrunde liegenden Vermögenswerte,wie das System die Lebenszyklusverantwortlichen festlegt. Die folgende Tabelleenthält eine Übersicht darüber, wie Lebenszyklusverantwortliche festgelegt werden.

Tabelle 42. Lebenszyklusverantwortliche bei Fragebogenbeurteilungen

Lebens-zyklus Phase Ressource

Prozess/Unterprozess Mitarbeiter Anbieter Projekt

Zwei-phasig

Informations-erfassung


Prozesseigentümer Mitarbeiterkonto Anbieter - Eigen-tümer

Projekt - Eigentü-mer

Geschlossen - - - - -

Drei-phasig



Prozesseigentümer Mitarbeiterkonto Anbieter - Eigen-tümer


Überprüfung Programm-eigentümer

Programm-eigentümer

Manager des Mit-arbeiters

Anbieter - Ge-schäftsbereich -Eigentümer


Geschlossen - - - -

Vier-phasig



Eigentümer Mitarbeiterkonto Anbieter - Eigen-tümer


Überprüfung GeschäftlicherVerantwortlicher

Prüfer Manager des Mit-arbeiters



Genehmigung Programm-eigentümer





Geschlossen - - - - -

Auslöser für RichtlinienimportAuslöser für den Richtlinienimport importiert Richtlinien- und Prozedureninhalteaus strukturierten Microsoft Word-Dokumenten in Richtlinien- und Prozedurenfel-der von IBM OpenPages GRC Platform, indem die verschiedenen Dokumentab-schnitte geparst werden. Dies wird ausgelöst, wenn ein Anhang in das Objekt'Richtlinie' eingecheckt wird.

Der Auslöser unterstützt den Ansatz 'Hybrid' des Richtlinienmanagements. Außer-dem wird die Aktualisierung der Versionsnummer im Ansatz 'Docucentric' unter-stützt, sobald ein neues Richtliniendokument eingecheckt wird. Der Auslöser führtals Teil des Importprozesses auch eine umfassende Validierung durch, um sicher-zustellen, dass die Struktur des Word-Dokuments der definierten Richtlinienvorla-ge entspricht.

OpenPages GRC Platform oder der Kunde können diese Komponente so konfigu-rieren, dass sie sich entsprechend der Kundenmethodik über Registry- und Anwen-dungstext-Einstellungen verhält.

Der Auslöser für den Richtlinienimport von IBM OpenPages Policy and Compli-ance Management besitzt die folgenden bekannten Einschränkungen:v In Aufzählungen werden nur die gefüllten bzw. nicht gefüllten Kreise als Auf-

zählungspunkte unterstützt.


v Bei nummerierten Listen werden nur Dezimalzahlen, große und kleine alphanu-merische Zeichen sowie große und kleine römische Zahlen unterstützt.

v Symbolschriftarten werden nicht unterstützt. Sie können die Option Symbol ein-fügen verwenden und ein Symbol in normaler Schriftart (z. B. das Copyright-Symbol) auswählen.

v Die Schriftart Wingdings wird nicht unterstützt.v Die Schattierung aus 'Format Rahmen und Schattierung' kann nicht festgelegt

werden. Problemumgehung: Heben Sie Text hervor, um einen ähnlichen Effektwie eine Schattierung zu erzielen. (Nur bei DOC-Dateien möglich.)

v Der Wert FORMDROPDOWN wird nicht angezeigt. (Nur bei DOC-Dateien mög-lich.)

v Bei sortierten Listen wird der Punkt als Trennzeichen verwendet. Wenn ein Lis-tenelement im Word-Dokument als „1)” angezeigt wird, wird es nach dem Im-port zu „1.”.

v Bei .doc wird der Stil des Aufzählungszeichens für Listenelemente aus demTextinhalt der Liste abgeleitet. Die Schriftart und -größe des Aufzählungszei-chens entspricht dem ersten Textteil im Listenelement. Das Aufzählungszeichenist demnach fett, kursiv oder farbig, je nachdem, ob der Text im Listenelementauch fett, kursiv oder farbig ist.

v Bilder, WordArt und Diagramme werden nicht unterstützt.v Inhaltsverzeichnisse können nicht importiert werden.v Alle Unterstreichungen werden als eine durchgezogene Linie angezeigt.v Hoch- und Tiefstellungen, die innerhalb eines Stils definiert wurden, werden

nicht unterstützt (nur .doc). Problemumgehung: Wenden Sie die Option zumHoch-/Tiefstellen aus dem Menü 'Schriftart' an, anstelle einen Stil zu verwen-den.

v Die Formatierung überschreibt Konflikte mit benutzerdefinierten Stilen. Wennzum Beispiel ein benutzerdefinierter Stil die Textformatierung 'Fett' enthält undder Benutzer die Fettmarkierung innerhalb des Dokuments manuell aufhebt,wird der Text laut 'Fett'-Stil trotzdem fett angezeigt. (Nur bei .doc)

v Tabstopps mit 4 Leerzeichen entsprechen möglicherweise nicht dem Abstand imDokument, da die Tabstopps auf der Positionierung im Dokument basieren. Da-her sollten besser Einrückungen verwendet werden, um die Inhalte auszurich-ten.

v Hängende Einzüge (d. h. Erstzeileneinzüge) für Listen sind möglicherweise nichtperfekt ausgerichtet, da die Aufzählungszeichen für Listenelemente unterschied-lich breit sind.

v Bei der Verwendung unterschiedlicher Aufzählungszeichen, Listen und Einrü-ckungen innerhalb einer Liste werden die Listenelemente möglicherweise nichtkorrekt ausgerichtet und unter Umständen falsch nummeriert.

v Die Eingabe mehrerer Wagenrückläufe, um Abstände zu erzeugen, werden nichtals zusätzlicher Abstand wiedergegeben.

v Nicht unterstützte Funktionen:– Änderung der Textrichtung– Doppeltes Durchstreichen– Reliefs, Gravuren, Schattierungen für Text– Texteffekte– Betonungszeichen– Benutzerdefinierte Textabstände– Rahmen mit Schatten


– Aufsteigend diagonale Zellenrahmen

Auslöser zum Sperren von RichtlinienMit dem Auslöser zum Sperren von Richtlinien wird die Richtline oder die Richtli-nie und ihre Komponenten (Prozeduren, Anhänge, Kommentare zur Richtlinien-prüfung) an verschiedenen Zeitpunkten im Prüfungs- und Genehmigungsprozessgesperrt. Dieser Auslöser unterstützt alle drei Ansätze des Richtlinienmanage-ments: Datacentric, Hybrid und Docucentric.

Der Auslöser zum Sperren von Richtlinien unterstützt zwei Anwendungsfälle:v Das Sperren von Richtlinienanhängen zur Unterstützung einer Richtlinie, die

sich im Prüfungs- und Genehmigungszyklus befindet, um sicherzustellen, dassder Richtlinieninhalt während der Genehmigung nicht geändert werden kann.(Zutreffend für die Hybrid- und Docucentric-Ansätze.)

v Das Sperren der gesamten Entwurfsrichtlinienhierarchie (Richtlinie, Prozeduren,Anhänge und Kommentare zur Richtlinienprüfung), nachdem die Richtlinie ihreletzte Genehmigung erhalten hat und veröffentlicht werden kann. (Zutreffendfür alle drei Richtlinienansätze.)

Der Kunde kann diese Komponente mithilfe der Registry- und Anwendungstex-teinstellungen so konfigurieren, dass sie sich entsprechend der Kundenmethodikverhält.

Auslöser für die Berechnungen von 'Audit - Risikobewertung'Der Auslöser für die Berechnungen von 'Audit - Risikobewertung' berechnet undverwaltet die Feldwerte für 'Audit - Inhärentes und Restrisikobewertung' für dasObjekt 'Risiko'.

Die Auslöser 'RCSA - Quantitativ' und 'RCSA - Qualitativ' beziehen sich auf denAuslöser für die Berechnungen von 'Audit - Risikobewertung'.

Auslöser zum automatischen Schließen von AuditsDer Auslöser zum automatischen Schließen von Audits bewertet die anstehendeSchließlich einer konfigurierten Auditkomponente. Der Auslöser wird standardmä-ßig für die folgenden Objekttypen konfiguriert: Audit, Auditabschnitt, Arbeitspa-pier, Feststellung, Auditprüfungskommentar, Plan und Zeiterfassungsliste.

Wenn eine Instanz eines konfigurierten Objekttyps erstellt oder aktualisiert wird,bewertet der Auslöser alle Kriterien, die für diesen Objekttyp konfiguriert wurden.Wenn alle Kriterien erfüllt sind, legt der Auslöser den Feldwert 'Kann geschlossenwerden' auf 'Ja' fest. Dieses Feld wird vom Hilfsprogramm zum Schließen von Au-dits verwendet, um festzustellen, ob alle Auditkomponenten geschlossen werdenkönnen.

Die konfigurierten Kriterienkategorien 'Kann geschlossen werden' enthalten erfor-derliche Felder, Datenfelder, die vor oder auf das aktuelle Datum festgelegt werdenmüssen, Datenfelder, die auf Werte vor oder auf ein Datum in anderen Feldwertenfestgelegt werden müssen, sowie Benutzerfelder, die die andere Werte haben müs-sen als andere Benutzerfelder.


Kapitel 8. Profile

IBM OpenPages GRC Platform-Lösungen haben mehrere Profile.

Für jede Lösung wird standardmäßig ein Masterprofil bereitgestellt, das alle Felderund Konfigurationen enthält, die für die jeweilige Lösung benötigt werden. Nach-stehend finden Sie eine Liste mit den Masterprofilen:v „OpenPages RCM-Masterprofil” - IBM OpenPages Regulatory Compliance Ma-

nagementv „OpenPages MRG-Masterprofil” - IBM OpenPages Model Risk Governancev „OpenPages FCM-Masterprofil” auf Seite 88 - IBM OpenPages Financial Controls

Managementv „OpenPages ORM-Masterprofil” auf Seite 88 - IBM OpenPages Operational Risk

Managementv „OpenPages PCM-Masterprofil” auf Seite 90 - IBM OpenPages Policy and Com-

pliance Managementv „OpenPages ITG-Masterprofil” auf Seite 91 - IBM OpenPages IT Governancev „OpenPages IAM-Masterprofil” auf Seite 91 - IBM OpenPages Internal Audit

Management

Nachdem alle OpenPages GRC Platform-Standardlösungen installiert wurden, wer-den die Lösungen für OpenPages-Masterprofile ebenfalls hinzugefügt.

OpenPages Operational Risk Management enthält darüber hinaus die folgendenlösungsspezifischen Profile:v „ORM Operational Risk Team-Profil” auf Seite 88v „ORM Business User-Profil” auf Seite 89v „ORM Simplified User-Profil” auf Seite 90v „OpenPages FIRST Loss-Profil” auf Seite 90

OpenPages RCM-MasterprofilDas OpenPages RCM-Masterprofil umfasst die Felder und Konfiguration, die fürIBM OpenPages Regulatory Compliance Management benötigt werden.

Dieses Profil enthält die folgenden Komponenten:v Registerkarte 'Eigene Arbeit', Registerkarte 'Dashboard' und alle Startseiten-Re-

gisterkartenv Abhängige Felderv Detail, Kontext, Ordner, gefilterte Liste und Listenansichten

OpenPages MRG-MasterprofilDas OpenPages MRG-Masterprofil umfasst die Felder und Konfiguration, die fürIBM OpenPages Model Risk Governance benötigt werden.

Dieses Profil enthält die folgenden Komponenten:

87

v Registerkarte 'Eigene Arbeit', Registerkarte 'Dashboard' und alle Startseiten-Re-gisterkarten

v Abhängige Felderv Detail, Kontext, Ordner, gefilterte Liste und Listenansichten

Subsets dieses Profils für den Eigentümer des Modells, das Management des Mo-dells, den Prüfer des Modells und andere Benutzerprofile werden während desImplementierungsprojekts erstellt.

OpenPages FCM-MasterprofilDas OpenPages FCM-Masterprofil umfasst die Felder und Konfiguration, die fürIBM OpenPages Financial Controls Management benötigt werden.

Dieses Profil enthält die folgenden Komponenten:v Filterv Registerkarte 'Eigene Arbeit', Registerkarte 'Dashboard' und alle Startseiten-Re-

gisterkartenv Abhängige Felder und abhängige Auswahllistenv Aktivität, Detail, Kontext, Ordner, Übersicht, gefilterte Liste, Rasteransicht und

Listenansichten

Subsets dieses Profils für den Eigentümer des Prozesses, Tester der Kontrolle undandere Benutzerprofile werden während des Implementierungsprojekts erstellt.

OpenPages ORM-MasterprofilDas OpenPages ORM-Masterprofil umfasst die Felder und die Konfiguration, diefür IBM OpenPages Operational Risk Management benötigt werden.


gisterkartenv Abhängige Felder und abhängige Auswahllistenv Aktivität, Detail, Kontext, Ordner, Übersicht, gefilterte Liste und Listenansichten

Weitere Informationen sind in den folgenden Abschnitten verfügbar:v „Gefilterte Startseitenlisten” auf Seite 92v „Aktivitätsansichten” auf Seite 97v „Rasteransichten” auf Seite 104

ORM Operational Risk Team-ProfilDas ORM Operational Risk Team-Profil enthält die Konfiguration, die von einemHauptbenutzer benötigt wird, der die meisten Funktionen von IBM OpenPagesGRC Platform verwendet, aber keinen Lesezugriff auf die Bibliotheks-IDs und Ob-jektstatusfelder hat.

Ein Benutzer mit diesem Profil kann die folgenden Ereignisse abschließen:v Prozesse verwaltenv Risiko- und Kontrollbibliotheken verwalten


v RCSA-Scoping durchführenv RCSA-Prozesse durchführen und überwachenv Verlustereignisse verwalten, prüfen und überwachenv KRIs definieren und erfassenv Problem- und Aktionsabschlüsse verwaltenv Szenarioanalysen koordinieren




ORM Business User-ProfilDas ORM Business User-Profil umfasst Felder und die Konfiguration, die von ei-nem Risikomanager benötigt werden, um die Unternehmensaktivitäten zu verwen-den. Dieser Benutzer ist ein aktiver Teilnehmer an den meisten Aktivitäten des be-trieblichen Risikomanagements.

Ein Benutzer dieses Profils kann die folgenden Elemente ändern:v Verlustereignis protokollierenv RCSA-Scoping durchführenv Risikobeurteilungen genehmigenv Key Risk Indicators (KPIs) erfassenv Problem- und Aktionsabschlüsse verwaltenv An Szenario-Workshops teilnehmen




Kapitel 8. Profile 89

ORM Simplified User-ProfilMit dem ORM Simplified User-Profil kann ein Benutzer sich auf Verlustereignisse,auf die Erfassung von KRI-Werten und auf die Problemverwaltung konzentrieren.




OpenPages FIRST Loss-ProfilDas OpenPages FIRST Loss-Profil enthält die Felder und die Konfiguration, mit de-nen das Laden der FIRST-Verlustdaten mit der IBM OpenPages FastMap-Funktionin IBM OpenPages Operational Risk Management vereinfacht wird.

Benutzer dieses Profils können alle Felder in den Objekten des Typs 'FIRST - Ver-lust' bearbeiten, sodass Daten geladen werden können. Dieses Profil sollte nur Be-nutzern zugewiesen werden, die verantwortlich dafür sind, FIRST-Verlustdatenüber FastMap zu laden. Alle anderen Benutzer sollten nur über Lesezugriff auf dieObjekte des Typs 'FIRST - Verlust' verfügen.

Es ist nicht erforderlich, dieses Profil einem Benutzer zuzuweisen. Stattdessen kön-nen Sie das FastMap-Arbeitsblatt mit den zu ladenden FIRST-Verlustdaten überdas OpenPages FIRST Loss-Profil konfigurieren.

Dieses Profil enthält die folgenden Funktionen:v Registerkarte 'Eigene Arbeit', Registerkarte 'Dashboard' und alle Startseiten-Re-

gisterkartenv Abhängige Auswahllistenv Detail, Kontext, Ordner, Übersicht, gefilterte Liste und Listenansichten

OpenPages PCM-MasterprofilDas OpenPages PCM-Masterprofil umfasst die Felder und Konfiguration, die fürIBM OpenPages Policy and Compliance Management benötigt werden.

Dieses Profil umfasst Folgendes:v Filterv Registerkarte 'Eigene Arbeit', Registerkarte 'Dashboard' und alle Startseiten-Re-

gisterkartenv Abhängige Felder und abhängige Auswahllistenv Berechnete Felderv Aktivität, Detail, Kontext, Ordner, Übersicht, gefilterte Liste, Rasteransichten und

Listenansichten


Subsets dieses Profils für einen Compliance-Programmmanager, Datenschutzbeauf-tragten und andere Benutzerprofile werden während des Implementierungsprojektserstellt.


OpenPages ITG-MasterprofilDas OpenPages ITG-Masterprofil umfasst die Felder und die Konfiguration, die fürIBM OpenPages IT Governance benötigt werden.



Listenansichten

Subsets dieses Profils für einen IT-Bibliotheksadministrator, IT-Leiter und andereBenutzerprofile werden während des Implementierungsprojekts erstellt.


OpenPages IAM-MasterprofilDas OpenPages IAM-Masterprofil umfasst die Felder und die Konfiguration, diefür IBM OpenPages Internal Audit Management benötigt werden.



Listenansichten

Subsets dieses Profils für den führenden Auditor, Audit-Leiter und andere Benut-zerprofile werden während des Implementierungsprojekts erstellt.

Weitere Informationen sind in den folgenden Abschnitten verfügbar:v „Gefilterte Startseitenlisten” auf Seite 92v „Aktivitätsansichten” auf Seite 97


v „Rasteransichten” auf Seite 104

OpenPages VRM MasterprofilDas OpenPages VRM-Masterprofil umfasst die Felder und die Konfiguration, diefür IBM OpenPages Vendor Risk Management benötigt werden.


gisterkartenv Abhängige Felder und abhängige Auswahllistenv Detail, Kontext, Ordner, Übersicht, gefilterte Liste und Listenansichten

Zwei weitere Profile (VRM Vendor Manager und VRM Vendor) unterstützen diesesProfil. Das Profil 'VRM Vendor Manager' wird für Benutzer verwendet, die für dieVerwaltung von Anbietern verantwortlich sind. Das Profil 'VRM Vendor' wird fürBenutzer verwendet, die als Anbieterkontakt agieren und für die Beantwortungvon Fragebogenbeurteilungen verantwortlich sind.

Gefilterte StartseitenlistenIn der folgenden Tabelle werden die gefilterten Listen angezeigt, die für die Start-seite Eigene Arbeit für jedes Profil definiert werden.

Die folgende Tabelle enthält die gefilterten Listen, die für die Profile definiert sind,die mit den einzelnen Lösungen bereitgestellt werden.

In den Spalten werden Abkürzungen für die folgenden Profile verwendet:v RCM = RCM-Masterprofilv MRG = MRG-Masterprofilv FCM = FCM-Masterprofilv ORM = ORM-Masterprofilv Risiko = ORM Operational Risk Team-Profilv BU = ORM Business User-Profilv SU = ORM Simplified User-Profilv PCM = PCM-Masterprofilv ITG = ITG-Masterprofilv IAM = IAM-Masterprofil

Tabelle 43. Gefilterte Startseitenlisten für OpenPages GRC-Profile

Objekttyp

FilterBeschreibung der gefilter-

ten Liste der Startseite RCM MRG FCM ORMRisi-ko BU SU PCM ITG IAM

Problem

Eigene offene Problem-fälle

Liste von offenen Proble-men, für die der angemel-dete Benutzerverantwortlich ist und diekorrigiert werden müssen.

X X X X X X X X

Testergebnis

Ergebnisse nicht bestan-dener Tests

Startseitenzugriff auf dieErgebnisse derfehlgeschlagenen Tests.

X


Tabelle 43. Gefilterte Startseitenlisten für OpenPages GRC-Profile (Forts.)

Objekttyp



Aktionselement

Aktionen - Warten aufGenehmigung

Stellt eine Liste mitAktionselementen bereit,die noch genehmigt werdenmüssen. In der Liste wer-den Aktionselemente ange-zeigt, für die derangemeldete Benutzer derProblemverantwortliche ist.

X

Aktionselement

Eigene offeneAktionselemente

Eine Liste mitAktionselementen, die demBenutzer zugeordnet wur-den, aber noch nicht abge-schlossen sind.

X

Problem

Offene Problemfälle

Startseitenzugriff auf IhreProbleme.

X X X

KRI-Wert

KRIs - Warten auf Ein-trag

Gibt eine Liste mit KRI-Werten mit dem Status'Warten auf Erfassung' undmit dem erwartetenErfassungsdatum in dennächsten 7 Tagen oder inden letzten 365 Tagen zu-rück. Der KRI-Erfassermuss zudem der angemel-dete Benutzer sein.

X X X

KRI-Wert

Eigene KRIs - Verlet-zungen

Gibt alle KRIs mit demÜbertretungsstatus 'Rot' zu-rück, die dem angemelde-ten Benutzer gehören.

X X X

KRI-Wert

Eigene KRIs - Wartenauf Genehmigung

Gibt KRI-Werte mit demErfassungsstatus 'Wartenauf Genehmigung' zurück,deren KRI-Eigner der ange-meldete Benutzer ist.

X X X

KPI-Wert

KPIs - Warten auf Ein-trag

Gibt eine Liste mit KPI-Werten mit dem Status'Warten auf Erfassung' undmit dem erwartetenErfassungsdatum in dennächsten 7 Tagen oder inden letzten 365 Tagen zu-rück. Der KPI-Erfassermuss zudem der angemel-dete Benutzer sein.

X X X

KPI-Wert

Eigene KPIs - Wartenauf Genehmigung

Gibt KPI-Werte mit demErfassungsstatus 'Wartenauf Genehmigung' zurück,deren KPI-Eigner der ange-meldete Benutzer ist.

X X X

KPI-Wert

Eigene KPIs - Verlet-zungen

Gibt alle KPIs mit demÜbertretungsstatus 'Rot' zu-rück, die dem angemelde-ten Benutzer gehören.

X X X



Objekttyp



Verlustereignis

Ereignisse - Warten aufGenehmigung

Startseite zeigtVerlustereignisse mit demStatus 'Warten auf Geneh-migung' oder 'Warten aufGenehmigung - Ebene 2' anund die genehmigende Per-son der Ebene L1 oder L2ist ein angemeldeter Benut-zer.

X X X

Verlustereignis

Offene Verlustereignisseüber 1 Mio. USD

Startseitenzugriff auf große,offene Verlustereignisse.

X X X

Prozess

Prozess - Warten aufGenehmigung

Gibt eine Liste aller Prozes-se wieder, die dem ange-meldeten Benutzer gehörenund den Status 'Warten aufGenehmigung' haben.

X X X

Risiko

Risiken - Warten aufBeurteilung

Gibt eine Liste aller Risikenwieder, die dem angemel-deten Benutzer gehörenund den Status 'Warten aufBeurteilung' haben.

X X X

Risikobeurteilung

EigeneRisikobeurteilungen

Startseitenzugriff auf IhreRisikobeurteilungen.

X X

KRI

KRI-Verletzungen

Startseitenzugriff auf KRIsmit dem Übertretungsstatus'Rot'.

X X X X

Aktionselement

Eigene Aktionselemente

Startseitenzugriff auf IhreAktionselemente.

X X X X

Aktionselement

Korrektur - Genehmi-gung anstehend

Startseitenzugriff auf IhreKorrekturelemente, dienoch genehmigt werdenmüssen.

Der Benutzer wird überElemente benachrichtigt, fürdie noch eine Genehmigungansteht, sowie über die aus-zuführende Aktion. Wenneine Aktion einige Zeit zurAusführung erfordert, fü-gen Sie einen Kommentarhinzu, um die Aktualisie-rungen zu verfolgen. Wenndie Aktion abgeschlossenist, legen Sie das Feld zumEinreichen des Abschlus-ses auf 'Ja' fest.

X X X X

Verlustereignisse

Eigene offene Ereignisse

Zeigt eine Liste vonVerlustereignissen an, beidenen der Status 'Geöffnet'lautet und derEreigniseigentümer der an-gemeldete Benutzer ist.

X X X X



Objekttyp



Attestierungen

Ausnahmeanfor-derungen fürAttestierungen

Startseitenzugriff aufAusnahmeanforderungenfür Attestierungen, die ge-prüft werden müssen.

X

Attestierung

Eigene Attestierungen

Startseitenzugriff auf IhreRichtlinienattestierungen,die abgeschlossen werdenmüssen. Enthält einen Linkzum Starten der AnsichtzumRichtlinienbewusstsein.

X

Vorfall

Kritische Compliance-Vorfälle

Startseitenzugriff auf Com-pliance-Vorfälle mit kriti-scher Prioritätsbewertung.

X

Alle offenen Vorfälle

Eigene offene Vorfälle

Startseitenzugriff auf offeneVorfälle.

X X


Eigene Kommentare zurRichtlinienprüfung

Startseitenzugriff auf Ihreoffenen Kommentare zurRichtlinienprüfung. Enthälteinen Link zum Starten derAnsicht zum Prüfen derRichtlinie.

X


Von mir zu genehmi-gende Richtlinien

Startseitenzugriff auf Ihreoffenen Anforderungen zurRichtliniengenehmigung.Enthält einen Link zumStarten der Ansicht zumPrüfen der Richtlinie.

X


Von mir zu prüfendeRichtlinien

Startseitenzugriff auf Ihreoffenen Anforderungen zurRichtlinienprüfung.

X

Fragebogen

Eigene abzuschließendeFragebogen

Startseitenzugriff auf IhreFragebögen, die abgeschlos-sen werden müssen.

X

Eigene Fragebogen-beurteilungen für

In Prüfung

In Genehmigung

In Informations-erfassung

Startseitenzugriff auf IhreFragebogenbeurteilungenzu jederLebenszyklusphase.

X X X X X X

Behördliche Änderung

Eigene offene behördli-chen Änderungen mitgroßem Einfluss

Startseitenzugriff auf Ihreoffenen behördlichen Ände-rungen mit großem Ein-fluss.

X

Behördliche Aufgabe

Eigene behördliche Auf-gaben

Startseitenzugriff auf Ihrebehördlichen Aufgaben, diebearbeitet werden müssen.

X



Objekttyp



RI-Anforderung

Besprechungs-anforderungen

Startseitenzugriff auf IhrebehördlichenBesprechungsanforde-rungen, für die Sie dergeschäftliche Verant-wortliche sind.

X

RI-Anforderung

Vor-Ort-Anforderungen

Startseitenzugriff auf Ihrebehördlichen Vor-Ort-An-forderungen, für die Sie dergeschäftliche Verantwortli-che sind.

X

RI-Anforderung

Anforderungen vor Ar-beitsbeginn

Startseitenzugriff auf Ihrebehördlichen Anforderun-gen vor Arbeitsbeginn, fürdie Sie der geschäftlicheVerantwortliche sind.

X

Richtlinie

EigeneEntwurfsrichtlinien

Startseitenzugriff auf IhreEntwurfsrichtlinien, für dieSie der Autor sind. Enthälteinen Link zum Starten desHilfsprogramms für dasErstellen von Richtlinien.

X

Richtlinie

Eigene veröffentlichteRichtlinien

Startseitenzugriff auf Ihreveröffentlichten Richtlinien,für die Sie der Autor sind.Enthält einen Link zumStarten des Hilfsprogrammsfür das Anzeigen von Richt-linien.

X

KPI

KPI-Verletzungen

Startseitenzugriff auf KPIsmit dem Übertretungsstatus'Rot'.

X X

Audits

Eigene laufende Audits

Startseitenzugriff auf dieAudits, die Ihnen zugeord-net wurden und die Sie be-arbeiten.

X


Eigene offeneAuditprüfungs-kommentare

Startseitenzugriff aufAuditprüfungskommentare,die bearbeitet werden müs-sen und deren EigentümerSie sind.

X

Feststellung

Eigene zu prüfendenFeststellungen

Startseitenzugriff auf offeneFeststellungen, für die Sieder Prüfer sind.

X

Feststellung

Eigene offene Feststel-lungen

Startseitenzugriff auf offeneFeststellungen, für die Siedie Informationen vorberei-tet haben.

X

Arbeitspapier

Eigene laufende Ar-beitspapiere

Startseitenzugriff auf Ar-beitspapiere, die bearbeitetwerden müssen und derenInformationen Sie prüfenmüssen.

X



Objekttyp



Arbeitspapier

Von mir zu prüfendebereitstehende Arbeits-papiere

Startseitenzugriff auf Ar-beitspapiere, die bearbeitetwerden müssen und für dieSie die Informationen vor-bereitet haben.

X

Kontrollplan

In der Erstellung be-findliche Kontrollpläne

Startseitenzugriff auf in derErstellung befindlicheKontrollpläne.

X

Vorfall

Kritische IT-Vorfälle

Startseitenzugriff zum Öff-nen kritischer IT-bezogenerVorfälle.

X

Aussetzung

Auslaufende Ausset-zungen

Startseitenzugriff auf geneh-migte Aussetzungen, die inden nächsten 3 Monatenauslaufen.

X

Aussetzung

Eigene Ausset-zungsgenehmi-gungen

Startseitenzugriff aufAusnahmeanforderungenfür Attestierungen, die ge-prüft werden müssen.

X

AktivitätsansichtenIn der folgenden Tabelle werden die Aktivitätsansichten angezeigt, die für jedesProfil definiert sind.

Die folgende Tabelle enthält die Aktivitätsansichten, die für die Profile definiertsind, die mit den einzelnen Lösungen bereitgestellt werden.

In den Spalten werden Abkürzungen für die folgenden Profile verwendet:v RCM = RCM-Masterprofilv MRG = MRG-Masterprofilv FCM = FCM-Masterprofilv ORM = ORM-Masterprofilv Risk = ORM Operational Risk Team-Profilv BU = ORM Business User-Profilv SU = ORM Simplified User-Profilv PCM = PCM-Masterprofilv ITG = ITG-Masterprofilv IAM = IAM-Masterprofil

Tabelle 44. Aktivitätsansichten für OpenPages GRC-Profile

Objekttyp

Name derAktivitäts-ansicht

Beschreibung derAktivitätsansicht RCM MRG FCM ORM Risiko BU SU PCM ITG IAM

Prozess

Kontroll-beurteilung

Vereinfacht die Durchfüh-rung prozessbasierterSelbstbeurteilungen vonRisiken und Kontrollen.

X


Tabelle 44. Aktivitätsansichten für OpenPages GRC-Profile (Forts.)

Objekttyp



Kontrolle

Kontrolltest - Zu-sammenfassung

Wird verwendet, um dieoperativen Effektivität derKontrolle anzugeben. StelltInformationen zumTestplan und Testergebnisbereit, die die Entschei-dung der operativen Effizi-enz beeinflussen.

X X X X X

Fragebogen

Fragebogen

Wird verwendet, um aufFragebögen mit demObjektmodell 'Fragebogen','Abschnitt' und 'Frage' zureagieren.

X X X X X X

Fragebogen

Aufbau des Frage-bogens

Wird verwendet, um Frage-bögen mit demObjektmodell 'Fragebogen','Abschnitt' und 'Frage' zuerstellen und zu ändern.

X X X X X

Prozess

RCSA-Genehmi-gung

Wird vomRisikokoordinator verwen-det, umSelbstbeurteilungen vonRisiken und Kontrollen zugenehmigen.

X X X X X

Prozess

Verarbeitungs-genehmigung

Wird vom Eigentümer desProzesses verwendet, umdie Beurteilung von Risi-ken und Kontrollen zu be-stätigen.

X X X X X X X

Szenario

Szenario-management

Wird verwendet, um dieAnwendbarkeit eines Sze-narios anzuzeigen.

X X X

Ereignis

Verlustereignis -Genehmigung

Wenn ein Ereignis zur Ge-nehmigung eingereichtwird, gültig ist und größerals der Schwellenwert fürVerlustereignis 1 ist, ändertsich der Status zu 'Wartenauf Genehmigung'. DerGenehmiger wird benach-richtigt, das Ereignis zuprüfen sowie zu genehmi-gen oder abzulehnen.

X X X X

KPI-Wert

KPI-Wert - Eintrag

Wird verwendet, um KPI-Werte einzugeben und denerfassten Status zu ändern.

X X X

KRI-Wert

KRI-Wert - Geneh-migung

Wird verwendet, um KRI-Werte zu genehmigen.

X X X X X

KRI-Wert

KRI-Wert - Eintrag

Wird verwendet, um KRI-Werte einzugeben und denerfassten Status zu ändern.

X X X X X



Objekttyp



KRI-Wert

KRI-Wert

Nach dem Definieren desKRI-Werts wird bestimmt,ob ein KRI-Wert erforder-lich ist. Wenn der KRI als'Aktiv' festgelegt wurde,generiert das KRI-Hilfsprogramm Werte.Wenn der KRI-Wert aberauf 'Inaktiv' festgelegt wur-de, wird kein leerer Wertvom Dienstprogramm ge-neriert. Das Wert-Objektwird zunächst als Platzhal-ter mit dem Status 'Wartenauf Erfassung' eingerichtet.

X X

Ereignis

Verlustereignis -Management

Die Verlustereignis-funktionalitätermöglicht die Erfassung,Klassifizierung und Ver-waltung vonVerlustereignissenoperationeller Risiken in-nerhalb derGeschäftshierarchie. Eswird sichergestellt, dassInformationen zuVerlustereignissen konsis-tent in der gesamten Orga-nisation erfasst werden.Dabei wird vorausgesetzt,dass die wichtigsten Datenzu jedem Ereignis eingege-ben und die entsprechen-den Genehmigungen undAktionen durchgeführtwurden.

X X X

Prozess

Prozess-RCSA-Ansicht

Vereinfacht die Durchfüh-rung derSelbstbeurteilungen vonRisiken und Kontrollen aufder Basis vonRisikobeurteilungen.

X X X X X

KPI-Wert

KPI-Wert - Geneh-migung

Wird verwendet, um KPI-Werte zu genehmigen.

X X X

Risiko-beurteilung

RCSA-Ansicht

Vereinfacht die Durchfüh-rung derSelbstbeurteilungen vonRisiken und Kontrollen aufder Basis vonRisikobeurteilungen.

X X X

Szenario

Szenarioge-nehmigung

Wird verwendet, um einSzenario zu genehmigen.

X



Objekttyp



Risiko

Risiko- undKontrollbeur-teilung

Risikobeurteilungen sindhäufig die Kernprozesse,die Organisationen füroperationelle Risiken ver-wenden. Dabei wird einRisikoprofil ermittelt, beur-teilt und quantifiziert. Eswird Konsistenz hergestellt,um eine allgemeine Sichteines Risikos in der gesam-ten Organisation zu erhal-ten. Sie stellt eineUnterstüt-zung derEntscheidungsfindung fürdas Management dar, umbessere Entscheidungen zutreffen und Maßnahmen zuergreifen.

X X X

Attestierung

Attestierung

Stellt eine vereinfachte An-sicht des Objekts'Attestierung' dar. Dient alsMuster für eine Ansicht,die als Standardansicht fürdie entsprechenden Benut-zer (z. B. Personen, dieAttestierungen für Richtli-nien durchführen) verwen-det werden kann.

X

Mandat

Behördliche Ände-rungen - Übersicht

Stellt eine konsolidierteAnsicht von behördlichenÄnderungen für ein Man-dat sowie die entsprechen-den behördlichenAufgaben, die sich aus derÄnderung ergeben, dar.Die Benutzer können denFortschritt und den Statusder Aufgaben verfolgen.

X

Richtlinie

Kampagnen-status -Überblick

Zeigen Sie die ausstehen-den Attestierungen für eineKampagne an.

X

Richtlinie

Ausnahme-anforderungenfür Mitarbeiter-richtlinien

Zeigen Sie die Aus-nahmeanforderungen fürMitarbeiter an.

X



Objekttyp



Richtlinie

Richtlinie

Stellt eine vereinfachte An-sicht des Objekts 'Richtli-nie' dar. Dient als Musterfür eine Ansicht, die alsStandardansicht für dieentsprechenden Benutzer(z. B. Personen, dieAttestierungen für Richtli-nien durchführen) verwen-det werden kann.

X

Behördliche Inter-aktion

Behördliche Prü-fungen

Stellt eine konsolidierteAnsicht vonInteraktionskategorien unddetaillierten Anforderungenfür eine komplexe behörd-liche Interaktion dar.

X

Audit

Auditübersicht

Wählen Sie einenAuditabschnitt aus, um diedazugehörigen Arbeitspa-piere und Feststellungenanzuzeigen und dann diewichtigsten Informationenzu aktualisieren.

X

Audit

Umfangsmatrix

Ermitteln Sie die Aktivitä-ten innerhalb derauditierbaren Entität undentscheiden Sie, ob sie sichinnerhalb oder außerhalbdes Auditbereichs befindet.Beziehen Sie sich auf dieRisiken jeder Aktivität, umeine Entscheidung zu tref-fen, in welchem Bereich siesich befindet.

X

Audit

Ansicht derUmfangsmatrix

Alle Felder derAktivitätsansicht'Umfangsmatrix' wurdenals schreibgeschützt konfi-guriert.

X

Audit

Bearbeitungs-Checkliste für Ab-schnitt

Stellt eine konsolidierteAnsicht desArbeitsprogramms bereitund vereinfacht die schnel-le Aktualisierung vonAuditabschnitten für einAudit.

X

Audit

Bearbeitungs-Checkliste für Ar-beitspapier

Stellt eine konsolidierteAnsicht der Arbeitspapierebereit und vereinfacht dieschnelle Aktualisierungvon Arbeitspapieren für einAudit.

X



Objekttyp



Auditierbare Enti-tät

Alle Prüfungs-kommentare

Zeigen Sie diePrüfungskommentare an,die zum ausgewählten Au-dit und zu seinen Ab-schnitten, Arbeitspapierenund Feststellungen gehö-ren.

X


Audits und Ab-schnitte

Zeigen Sie die Abschnitteeines Audits an und aktua-lisieren Sie die geplantenStart- und Enddaten.

X


Checkliste für Ab-schnitt

Stellt eineschreibgeschützteÜbersichtsansicht der Ab-schnitte imArbeitsprogramm bereit.

X


Checkliste für Ar-beitspapier

Stellt eineschreibgeschützteÜbersichtsansicht der Ar-beitspapiere imArbeitsprogramm bereit.

X

Geschäftsentität

Auditplanung

Ermöglicht die Eingabevon geplanten Daten undgeschätzten Stunden undSpesen für jedes Audit imUniversum. Audits, die ei-nen anderen Status habenals 'Abgeschlossen', werdenbis 2008 und darüber hin-aus gefiltert.

X

Arbeitspapier

Projektmanage-mentaktuali-sierung

Wird beim Finalisieren desArbeitspapierstatus ver-wendet.

X

Arbeitspapier

Projektmanage-mentplanung

Wird beim Finalisieren desArbeitspapierstatus ver-wendet.

X

Arbeitspapier

Prüfung und Ge-nehmigung

Wird bei der Prüfung vonArbeitspapieren verwendet.

X

Arbeitspapier

Testausführung

Wird beim Ausführen vonArbeitspapiertests währenddes Außendiensts verwen-det.

X

Arbeitspapier

Testplanung

Wird bei der Planung vonArbeitspapieren verwendet.

X

Basiswert

Risiko beurteilen

Wird zum Durchführenvon Risikobeurteilungenfür Basiswerte in der IT-Betriebsumgebung verwen-det.

X



Objekttyp



Basiswert

Basiswert beurtei-len

Wird zum Durchführenvon Risikobeurteilungenfür Basiswerte in der IT-Betriebsumgebung verwen-det.

X

Geschäftsentität

Deloitte-Mandate

Zeigt alle Anforderungenan, die auf einem Mandatbasieren, das von Deloittebereitgestellt wird.

X

Geschäftsentität

Mandats-kontrollen

Für alle ausgewähltenMandate werden die zuge-hörigen Kontrollen in derIT-Betriebsumgebung ange-zeigt. Stellt eineunternehmensweite Ansichtder Kontrolleffektivität fürein bestimmtes Mandatbereit. Kontrollen werdenaus der Bibliothekherausgefiltert. Es sind nurunwirksame oder unbe-stimmte Kontrollen enthal-ten.

Sollte von einerGeschäftsentität in der Bib-liothek aus ausgeführt wer-den.

X

Geschäftsentität

UCF-Mandate

Zeigt alle Anforderungenan, die auf einem Mandatbasieren, das von UCF be-reitgestellt wird.

X

Kontrollplan

Kontrollplan beur-teilen

Wird zum Durchführenvon Risikobeurteilungenfür Kontrollpläne in derIT-Betriebsumgebung ver-wendet.

X

Mandat

Deloitte-Mandat -Übersicht

Zeigt alle Submandate unddie Anforderungen zu je-dem Submandat an. Ist fürDeloitte-Inhalte am bestengeeignet.

X

Mandat

UCF-Mandat -Übersicht

Zeigt alle Submandate unddie Anforderungen zu je-dem Submandat an. Ist fürUCF-Inhalte am besten ge-eignet.

X

Tabelle 45. Aktivitätsansichten zur Steuerung des Assistenten 'Neu hinzufügen'

Objekttyp



Risiko

Neu hinzufügen

Vom Assistenten 'Neu hin-zufügen' verwendet

X X X X


Tabelle 45. Aktivitätsansichten zur Steuerung des Assistenten 'Neu hinzufügen' (Forts.)

Objekttyp



Kontrolle

Neu hinzufügen


X X X X

Arbeitspapier

Neu hinzufügen


X

RasteransichtenIn der folgenden Tabelle werden die Rasteransichten angezeigt, die für die einzel-nen Profile definiert sind.


Das IBM OpenPages Operational Risk Management-Profil unterstützt alle Rasteran-sichten der folgenden lösungsspezifischen Profile:v ORM Operational Risk Team-Profilv ORM Business User-Profilv ORM Simplified User-Profilv ORM-Masterprofil

Tabelle 46. Rasteransichten für jede Lösung

Objekttyp

Rasteransicht Beschreibung RCM MRG FCM ORM PCM ITG IAM

KPI, KPI-Wert

KPI-Werte eingeben

Wird verwendet, umKPI-Werte einzugeben.Erstellen Sie vor der Ver-wendung dieser AnsichtKPI-Wert-Objekte.

X X X

KRI, KRI-Wert

KRI-Werte genehmigen

Wird verwendet, umKRI-Werte zu prüfen undzu genehmigen. ErstellenSie vor der Verwendungdieser Ansicht KRI-Wert-Objekte und geben SieWerte ein.

X X X


Tabelle 46. Rasteransichten für jede Lösung (Forts.)

Objekttyp

Rasteransicht Beschreibung RCM MRG FCM ORM PCM ITG IAM

KRI, KRI-Wert

KRI-Werte eingeben

Wird verwendet, umKRI-Werte einzugeben.Erstellen Sie vor der Ver-wendung dieser AnsichtKRI-Wert-Objekte.

X X X

KPI, KPI-Wert

KPI-Werte genehmigen

Wird verwendet, umKPI-Werte zu prüfen undzu genehmigen. ErstellenSie vor der Verwendungdieser Ansicht KPI-Wert-Objekte und geben SieWerte ein.

X X X

Prozess, Risiko, Kontrolle

PRSA-Überprüfung

Wird verwendet, umSelbstbeurteilungen vonProzessrisiken zu prüfen.

X X

Prozess, Risiko, Kontrolle

PRSA-Aktualisierung

Wird verwendet, umSelbstbeurteilungen vonProzessrisiken zu aktuali-sieren.

X X


Kapitel 9. Rollenvorlagen

Mit einer Rollenvorlage werden die Berechtigungen definiert, die einem Benutzerfür den Zugriff auf Objekttypen gewährt werden. IBM OpenPages GRC Platform-Lösungen enthalten mehrere Rollenvorlagen. Die Rollenvorlagen gewähren Anwen-dungsberechtigungen und Zugriff auf Features und Funktionen. Sie gewähren auchZugriffskontrolleinträge für das Objekt (RWDA).

Wenn einer Rollenvorlage für eine Lösung Berechtigungen zugewiesen werden,werden diese Berechtigungen auch der Master-Vorlage für alle Module zugeordnet.

Standardmäßig sind für jede Lösung zwei Rollenvorlagen enthalten. Die Vorlagemit allen Berechtigungen stellt Administratorrechte und Berechtigungen für alleObjekttypen bereit, die für die Lösung verfügbar sind. Die Vorlage für alle Datenohne Administratorrechte stellt Berechtigungen für alle für die Lösung verfügbarenObjekttypen, aber keine Administratorrechte bereit.

Weitere Informationen über Berechtigungen, die mit Rollenvorlagen bereitgestelltwerden, finden Sie in „Berechtigungen für Rollenvorlagen”.

Berechtigungen für RollenvorlagenJede Rollenvorlage definiert die Zugriffsberechtigungen für jeden Objekttyp.

Für jede Lösung wird die Rollenvorlage mit allen Berechtigungen bereitgestellt.Hierzu gehören auch vollständige Administratorrechte. Darüber hinaus werdenvollständige Berechtigungen zum Lesen, Schreiben, Löschen und Zuordnen für alleObjekttypen bereitgestellt, die in der Lösung enthalten sind.

Jede Lösung enthält außerdem eine Rollenvorlage für alle Daten ohne Administra-torrechte. Die Vorlage stellt Administratorrechte bereit, außer für Objekttypen, dieWorkflows, Dateien und Ordnern zugeordnet wurden. Die Vorlagen stellen voll-ständige Berechtigungen zum Lesen, Schreiben, Löschen und Zuordnen für alleObjekttypen bereit, die standardmäßig für die Lösung aktiviert sind.

Weitere Informationen zu den Zugriffsberechtigungen, die den Objekttypen in Rol-lenvorlagen gewährt werden, finden Sie in „Von Rollenvorlagen zugeordnete Ob-jekttypberechtigungen”.

Von Rollenvorlagen zugeordnete ObjekttypberechtigungenMit einer Rollenvorlage wird der Zugriff zum Lesen, Schreiben, Löschen und Zu-ordnen zu Objekttypen, die in jeder Lösungaktiviert sind, definiert.

Wenn einer Rollenvorlage Berechtigungen zugewiesen werden, werden diese Be-rechtigungen auch der Master-Vorlage für alle Module zugeordnet.

Die folgenden Berechtigungen beschreiben die Rechte, die Objekttypen in Rollen-vorlagen zugeordnet werden. In der folgenden Tabelle beschreiben die Abkürzun-gen die Berechtigungen, die für jeden Objekttyp aktiviert werden.

R Gruppen oder Benutzer erhalten die Berechtigung, die Objektdetails anzu-zeigen und zu lesen.

107

W Gruppen oder Benutzer erhalten die Berechtigung, Objekte im ausgewähl-ten Ordner zu erstellen oder zu bearbeiten. Sie können jedoch keine Objek-te löschen.

D Gruppen oder Benutzer erhalten die Berechtigung, Objekte in der Ordner-struktur zu löschen.

A Gruppen oder Benutzer erhalten die Berechtigung, Zuordnungen zwischenObjekten zu erstellen.

Die folgenden Akronyme stellen die Rollenvorlagen in der folgenden Tabelle dar:v RCM = IBM OpenPages Regulatory Compliance Management-Rollenvorlagev MRG = IBM OpenPages Model Risk Governance-Rollenvorlagev FCM = IBM OpenPages Financial Controls Management-Rollenvorlagev ORM = IBM OpenPages Operational Risk Management-Rollenvorlagev Risiko = IBM OpenPages Operational Risk Team-Rollenvorlagev BU = IBM OpenPagesORM Business User-Rollenvorlagev SU = IBM OpenPagesORM Simplified User-Rollenvorlagev PCM = IBM OpenPages Policy and Compliance Management-Rollenvorlagev ITG = IBM OpenPages IT Governance-Rollenvorlagev IAM = IBM OpenPages Internal Audit Management-Rollenvorlage

In der folgenden Tabelle werden die Objekttypberechtigungen aufgeführt, die derVorlage in jeder Lösung zuwiesen sind. Jede Lösung enthält zwei Master-Vorlagen:die Vorlage mit allen Berechtigungen und die Vorlage für alle Daten ohne Adminis-trator. Eine leere Zelle in der Tabelle bedeutet, dass der entsprechende Objekttypfür die Lösung nicht verfügbar ist.

Tabelle 47. Objekttypberechtigungen für OpenPages GRC-Rollenvorlagen

Objektname

Objekttypbezeichnung RCM MRG FCM ORM Risiko BU SU PCM ITG IAM

Attestierung

Attestierung

RWDA

AuditableEntity

Auditentität

RWDA

Auditor

Auditor

RWDA

AuditPhase

Auditabschnitt

RWDA

AuditProgram

Audit

RWDA

Kampagne

Kampagne

RWDA

CapitalModel

Kapitalmodell

RWDA


Tabelle 47. Objekttypberechtigungen für OpenPages GRC-Rollenvorlagen (Forts.)

Objektname


Challenge

Anforderung

RWDA

ChangeRequest

Änderungsanforderung

RWDA

Committee

Ausschuss

RWDA

CompliancePlan

Complianceplan

RWDA RWDA

ComplianceTheme

Compliancethema

RWDA RWDA

CtlEval

Kontrollbewertung

RWDA RWDA RWDA RWA RWA RWDA

DataInput

Dateneingabe

RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA

DataOutput

Datenausgabe


Documentation

Dokumentation

RWDA

Mitarbeiter

Mitarbeiter

RWDA RWDA

Feststellung

Feststellung

RWDA

FIRSTLoss

FIRST - Verlust

* gibt an, dass die Be-rechtigungen W und Anicht angegeben sind.

RWDA R* R*

Vorfall

Vorfall

RWDA RWDA

KeyPerfIndicator

KPI

RWDA RWDA RWDA RWDA RWDA RWDA

KeyPerfIndicatorValue

KPI-Wert

RWDA RWA RWA RWA RWDA

KeyRiskIndicator

KRI

RWDA RWA RWA RWA RWDA

Kapitel 9. Rollenvorlagen 109


Objektname


KeyRiskIndicatorValue

KPI-Wert

RWDA RWA RA RWDA

LossEvent

Verlustereignis

RWDA RWA RWA RWA

LossImpact

Verlusteinfluss

RWDA RWA RWA RWA

LossRecovery RWDA RWA RWA RWA

Mandat

Mandat

RWDA RWDA RWDA RWDA

Metric

Metrik

RWDA

MetricValue

Metrikwert

RWDA

Model

Modell

RWDA

ModelInput

Modelleingabe

RWDA

ModelLink

Model-Link

RWDA

ModelOutput

Modellausgabe

RWDA

ModelReport

Modellbericht

RWDA

ModelResult

Kapitalmodellergebnis

RWDA

ORICLoss

ORIC - Verlust


RWDA R* R*

ORXLoss

ORX - Verlust


RWDA R* R*



Objektname


Plan

Plan

RWDA

Richtlinie

Richtlinie

RWDA RWDA RWDA RWDA

PolicyReviewComment


RWDA

Vorgabe

Vorgabe

RWDA RWA RA RA RWDA

PrefGrp

Vorgabegruppe

RWDA RWDA

Prozedur

Prozedur

RWDA RWDA RWDA RWDA

ProcessDiagram

Prozessdiagramm


ProcessEval

Prozess - Auswertung

RWDA RWA RWA RWA

Project

Projekt

RWDA RWDA

ProjectActionItem

Meilensteinaktions-element

Quest

Frage

RWDA RWDA

Fragebogen

Fragebogen

RWDA RWDA

Qsection RWDA RWDA

RAEval

Auswertung derRisikobeurteilung

RWDA RWA RWA RWA

RegApp

Anwendbarkeit von Be-stimmungen

RWDA RWDA

RegChange

Behördliche Änderung

RWDA RWDA



Objektname


RegulatoryInitiative

Behördliche Initiative

RWDA RWDA

RegInt

Behördliche Interaktion

RWDA

Register

Register

RWDA

RegTask

Behördliche Aufgabe

RWDA RWDA

Behörde

Behörde

RWDA RWDA

ReportSection

Berichtsabschnitt

RWDA

Anforderung

Anforderung

RWDA RWDA RWDA RWDA

ReqEval

Auswertung der Anfor-derung

RWDA

ReqEvalValue

Anforderungsaus-wertung - Wert

RWDA

Ressource

Ressource

RWDA

ResourceLink

Ressourcenlink

RWDA

Überprüfung

Überprüfung

RWDA

ReviewComment


RWDA

RICat

RI-Kategorie

RWDA

RIReq

RI-Anforderung

RWDA

RiskAssessment

Risikobeurteilung

RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA



Objektname


RiskEntity

Kontrollplan

RWDA

RiskEval

Risikoauswertung

RWDA RWA RWA RWA

RiskSubEntity

Basiswert

RWDA

ScenarioAnalysis

Szenarioanalyse

* gibt an, dass die Be-rechtigung W nicht ange-geben ist.

RWDA RWA RA*

ScenarioResult

Szenario - Ergebnis

* gibt an, dass die Be-rechtigung W nicht ange-geben ist.

RWDA RWA RA*

SOXAccount

Konto

RWDA

SOXBusEntity

Geschäftsentität

RWDA RWDA RWDA RWDA RWA RA RA RWDA RWDA RWDA

SOXControl

Kontrolle


SOXControlObjective

Kontrollziel

SOXDocument

Datei

RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXExternalDocument

Link

RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXIssue

Problem


SOXMilestone

Meilenstein

SOXProcess

Prozess

RWDA RWDA RWA RWA RWA RWDA RWDA RWDA



Objektname


SOXRisk

Risiko


SOXSignature

Signatur


SOXSubaccount

Unterkonto

RWDA

SOXSubprocess

Unterprozess

RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXTask

Aktionselement


SOXTest

Testplan

RWDA RWDA RWDA RWDA RWDA

SOXTestResult

Testergebnis

RWDA RWDA RWDA RWDA RWDA

Submandat

Submandat

RWDA RWDA RWDA RWDA

Zeiterfassungsliste

Zeiterfassungsliste

RWDA

Usage

Verwendung

Aussetzung

Aussetzung

RWDA RWDA

Arbeitspapier

Arbeitspapier

RWDA


Bemerkungen

Die vorliegenden Informationen wurden für Produkte und Services entwickelt, dieweltweit angeboten werden.

IBM stellt dieses Material möglicherweise auch in anderen Sprachen zur Verfü-gung. Für den Zugriff auf das Material in einer anderen Sprache kann eine Kopiedes Produkts oder der Produktversion in der jeweiligen Sprache erforderlich sein.

Möglicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte,Services oder Funktionen nicht in allen Ländern an. Informationen über die gegen-wärtig im jeweiligen Land verfügbaren Produkte und Services sind beim zuständi-gen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oderandere IBM Produkte bedeuten nicht, dass nur Programme, Produkte oder Servicesvon IBM verwendet werden können. Anstelle der IBM Produkte, Programme oderServices können auch andere, ihnen äquivalente Produkte, Programme oder Servi-ces verwendet werden, solange diese keine gewerblichen oder anderen Schutzrech-te von IBM verletzen. Die Verantwortung für den Betrieb von Produkten, Program-men und Services anderer Anbieter liegt beim Kunden. Dieses Dokumentbeschreibt möglicherweise Produkte, Services oder Features, die in der erworbenenProgramm- oder Lizenzberechtigung nicht enthalten sind.

Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Pa-tente oder Patentanmeldungen geben. Mit der Auslieferung dieses Handbuchs istkeine Lizenzierung dieser Patente verbunden. Lizenzanforderungen sind schriftlichan folgende Adresse zu richten (Anfragen an diese Adresse müssen auf Englischformuliert werden):

IBM Director of LicensingIBM Europe, Middle East & AfricaTour Descartes2, avenue Gambetta92066 Paris La DefenseFrance

Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfeh-ler in dieser Veröffentlichung nicht ausgeschlossen werden. Die hier enthaltenen In-formationen werden in regelmäßigen Zeitabständen aktualisiert und als Neuausga-be veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/oder Programmen vornehmen.

Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglichals Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhaltsdieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestand-teil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites ge-schieht auf eigene Verantwortung.

Werden an IBM Informationen eingesandt, können diese beliebig verwendet wer-den, ohne dass eine Verpflichtung gegenüber dem Einsender entsteht.

Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschenmit der Zielsetzung: (i) den Austausch von Informationen zwischen unabhängig

115

voneinander erstellten Programmen und anderen Programmen (einschließlich desvorliegenden Programms) sowie (ii) die gemeinsame Nutzung der ausgetauschtenInformationen zu ermöglichen, wenden sich an folgende Adresse:

IBM CorporationLocation Code FT0550 King StreetLittleton, MA01460-1250U.S.A.

Die Bereitstellung dieser Informationen kann unter Umständen von bestimmtenBedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängigsein.

Die Lieferung des in diesem Dokument beschriebenen Lizenzprogramms sowie deszugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarungbzw. der Allgemeinen Geschäftsbedingungen von IBM, der IBM InternationalenNutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung.

Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrol-lierten Umgebung. Die Ergebnisse, die in anderen Betriebsumgebungen erzielt wer-den, können daher erheblich von den hier erzielten Ergebnissen abweichen. EinigeDaten stammen möglicherweise von Systemen, deren Entwicklung noch nicht ab-geschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügba-ren Systemen erzielt werden, kann nicht gegeben werden. Darüber hinaus wurdeneinige Daten unter Umständen durch Extrapolation berechnet. Die tatsächlichen Er-gebnisse können davon abweichen. Benutzer dieses Dokuments sollten die entspre-chenden Daten in ihrer spezifischen Umgebung prüfen.

Alle Informationen zu Produkten anderer Anbieter stammen von den Anbieternder aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderenallgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kanndaher keine Aussagen zu Leistung, Kompatibilität oder anderen Merkmalen ma-chen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind anden jeweiligen Anbieter zu richten.

Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder kön-nen zurückgenommen werden und repräsentieren nur die Ziele von IBM.

Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichenGeschäftsablaufs. Sie sollen nur die Funktionen des Lizenzprogramms illustrierenund können Namen von Personen, Firmen, Marken oder Produkten enthalten. Allediese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Ad-ressen sind rein zufällig.

Dieses Softwareangebot verwendet keine Cookies oder andere Technologien zur Er-fassung personenbezogener Daten.

Copyright

Licensed Materials - Property of IBM Corporation.

© Copyright IBM Corporation, 2003, 2016.


Diese Veröffentlichung enthält Beispielanwendungsprogramme, die in Quellenspra-che geschrieben sind und Programmiertechniken in verschiedenen Betriebsumge-bungen veranschaulichen. Sie dürfen diese Beispielprogramme kostenlos kopieren,ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogram-me zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit derAnwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, fürdie diese Beispielprogramme geschrieben werden.

Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daherkann IBM die Zuverlässigkeit, Wartungsfreundlichkeit oder Funktion dieser Pro-gramme weder zusagen noch gewährleisten. Sie dürfen diese Beispielprogrammekostenlos kopieren, ändern und verteilen, wenn dies zu dem Zweck geschieht, An-wendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu vertei-len, die mit IBM Anwendungsprogrammierschnittstellen konform sind.

Marken

IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der In-ternational Business Machines Corporation in den USA und/oder anderen Län-dern.

Die folgenden Namen sind Marken oder eingetragene Marken anderer Unterneh-men:v Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Mi-

crosoft Corporation in den USA und/oder anderen Ländern.

Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Her-stellern sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Co-pyright and trademark information” unter www.ibm.com/legal/copytrade.shtml.

Bemerkungen 117

http://www.ibm.com/legal/copytrade.shtml

http://www.ibm.com/legal/copytrade.shtml

Index

AAktionselemente 71Aktivitätsansicht 97Aktualisierung für Lebenszyklusauslöser 70Ansicht zum Richtlinienbewusstsein, Hilfsprogramm 47Auslöser

Aktualisierung für Lebenszyklus 70Fragebogenbeurteilungen 82Kontrolle, Lebenszyklus 79KRI-Lebenszyklus 76Problem, Lebenszyklus 73Problemlebenszyklus 72Verlustereignis - Genehmigung 77Verlustereignis, Lebenszyklus 77Verlustereignis-Genehmigungsübergabe 77Verlustereignisberechnung 77Visualisierung 75Vorfälle 81

Auslöser für den FragebogenbeurteilungslebenszyklusBenachrichtigung zu Fragebogenbeurteilungen 53

Auslöser für Fragebogenbeurteilungen 82

BBenachrichtigung für KPI-Reminder 52Benachrichtigung für KRI-Reminder 52Benachrichtigung über KPI-Übertretungen 52Benachrichtigung über KRI-Übertretungen 52Benachrichtigung über Problem- und Aktionsbulletin 52Benachrichtigungen 51

Benachrichtigung für KPI-Reminder 52Benachrichtigung für KRI-Reminder 52Benachrichtigung über KPI-Übertretungen 52Benachrichtigung über KRI-Übertretungen 52Benachrichtigung zu Fragebogenbeurteilungen 53Benachrichtigung zu Vorfällen 53Problem- und Aktionsbulletin 52

Bericht zur Attestierungserstellung, Hilfsprogramm 48

DDatenausgabe, Auslöser 75Dateneingabe, Auslöser 75

EEntsperren von Richtlinien, Hilfsprogramm 46

FFragebogenbeurteilung, Benachrichtigung 53

GGefilterte Liste der Startseite 92Geschäftsentität

Zuordnung zu Risikobeurteilungen 44

HHilfsprogramme

RCSA-Hilfsprogramme 43, 44Risikobeurteilung 45Szenarioanalyse 42Wichtige Indikatoren 42, 43

Hilfsprogramme für die Risikobeurteilungsiehe RCSA-Hilfsprogramme

Hilfsprogramme für die Szenarioanalyse 42

KKey Indicator-Hilfsprogramme 42, 43KPI-Erfasser

Benachrichtigung für KPI-Reminder 52KPI-Lebenszyklus, Auslöser

Übertretungsbenachrichtigung 52KPI-Wert

Benachrichtigung für KPI-Reminder 52KRI-Erfasser

Benachrichtigung für KRI-Reminder 52KRI-Lebenszyklus, Auslöser 76

Übertretungsbenachrichtigung 52KRI-Wert

Benachrichtigung für KRI-Reminder 52

LLebenszyklussauslöser für Kontrollen 79Lebenszyklussauslöser für Probleme 73Lebenszyklussauslöser für Verlustereignisse 77

NNeuerungen 1

OObjekttypen

Problem 72Verlusteinfluss 77Verlustereignis 77Verlusterstattung 77

OpenPages Policy and Compliance Management xOperation Risk Team-Profil 89Operational Risk Team-Profile 88

PProblem (Objekttyp) 72Probleme

Verwaltung 71Problemlebenszyklus, Auslöser 72Profile, Aktivitätsansichten 97Profile, gefilterte Liste der Startseite 92

119

RRasteransichten 104RCSA-Auslöser 75RCSA-Hilfsprogramme 43, 44, 45Richtlinienanzeigefunktionen 45Risikobeurteilungen

Zuordnung zu Geschäftsentität 44

SSelbstbeurteilungen von Risiken und Kontrollen, Auslöser

siehe RCSA-AuslöserSimplified User-Profil 90

VVerlusteinfluss (Objekttyp) 77Verlustereignis - Genehmigung, Auslöser 77Verlustereignis (Objekttyp) 77

Verlustereignis-Genehmigungsübergabe, Auslöser 77Verlustereignisberechnung, Auslöser 77Verlusterstattung (Objekttyp) 77Veröffentlichen von Stapelbenachrichtigungen, Hilfspro-

gramm 47Visualisierungsauslöser 75Vorfallauslöser 81Vorfälle, Benachrichtigung 53Vorfalllebenszyklus, Auslöser

Benachrichtigung zu Vorfällen 53


IBM OpenPages GRC Platform Version 7.3.0: L...

Documents

Transcript of IBM OpenPages GRC Platform Version 7.3.0: L...