Zum Ergebnis in 4 Schritten mit risk2value®

Die risk2value® Methodik basiert auf dem Grundgedanken der Balanced Scorecard. Dies spiegelt sich auch in den durchzuführenden Projekt-Schritten wider, um die Ergebnisse der Risiko- und Complianceanalysen zu erhalten:

1) Aufbau / Import der inhaltlichen Bewertungsarchitektur
Der erste Schritt in der Projektumsetzung mit risk2value® ist die Definition der inhaltlichen Risikoarchitektur. Hier gibt es prinzipiell die Möglichkeit, individuelle Bewertungs- und Fragenkataloge aufzubauen oder auf bestehende Referenzmodelle und rapid solutions von avedos™ und seinen Partnern zurückzugreifen. Zweitere ist sicher die effizientere Möglichkeit, auch wenn natürlich in gewissen Fällen nur individuelle Modelle zum Einsatz kommen können um die Anforderungen zu treffen.

2) Aufbau der organisatorischen Bewertungsarchitektur
Im zweiten Schritt wird die organisatorische Bewertungsarchitektur modelliert. Diese Struktur kann sich je nach Projektzielsetzung stark unterscheiden. Im oben dargestellten IT-Beispiel wird die IT-Service-Hierarchie bis zu den Geschäftsprozessen abgebildet um daraufhin die relevanten IT-Kontrollziele zu bewerten.

3) Mapping der inhaltlichen und der organisatorischen Architektur
Bei der Verknüpfung der beiden Architekturen werden alle relevanten Kontrollen und Risiken mit einem organisatorischen Objekt zur Bewertung verbunden. Nur relevante Kontrollen werden später einer Bewertung unterzogen.

4) Durchführung der regelmäßigen Assessments
Die Durchführung der Assessments auf Basis der modellierten Scorecard geschieht in zwei Schritten und ermöglicht dann Auswertungen / Analysen die der Maßnahmenplanung zu Grunde liegen:

• Qualitative Beantwortung der relevanten Fragestellungen durch den Service- / Objektverantwortlichen
• Bewertung der relevanten Kriterien / Kontrollen / Risiken auf Basis der zuvor eingeholten Antworten auf die relevanten Fragestellungen. Dieser Schritt wird meist von einem zentralen Risikomanager, Compliance Officer oder einer ähnlichen Funktion durchgeführt

Basierend auf den daraus resultierenden Risiko- und Complianceanalysen wird danach ein regelmäßig wiederholter Prozess eingeführt, der die Maßnahmenplanung und danach einen neuen Bewertungszyklus beinhaltet.