This section includes a detailed explanation of how the DEMI model works, what a key control is and why it is important to define key controls in the risk-control matrix.

The DEMI model used at Vienna University of Technology is a flow chart that is characterised by clearly defined and concise responsibilities for each process step. For each process step, only one structural element or leader can be defined for "implementation" or "decision", while for cooperation and information, several structural elements or leaders can be listed.

  • D ... Implementation (1 person responsible)
  • E ... Decision (1 person responsible)
  • M ... Collaboration (several structural elements possible)
  • I ... Information (several structural elements possible)
Shown are the columns of the DEMI model from left to right: Input, Sequence, Output, D, E, M, I

Shown are the columns of the DEMI model from left to right: Input, Sequence, Output, D, E, M, I

Das an der TU Wien verwendete DEMI Modell, ist ein Flussdiagramm, das sich besonders durch die klar definierten und übersichtlichen Verantwortlichkeiten je Prozessschritt auszeichnet. Für jeden Prozessschritt kann immer nur ein Strukturelement oder ein_e Leiter_in für "Durchführung" oder "Entscheidung" definiert werden, während bei Mitarbeit und Information auch mehrere Strukturelemente beziehungsweise Leiter_innen angeführt werden können.

 

  • D … Durchführung (1 Verantwortliche_r)
  • E … Entscheidung (1 Verantwortliche_r)
  • M … Mitarbeit (mehrere Strukturelemente möglich)
  • I … Information (mehrere Strukturelemente möglich)

 

Die "Praxis Schulung IKS" erklärt die Anwendung des DEMI Modells im Detail.

  • A key control is a financially risky control step whose risk is identified, assessed and assigned a specific control by the process manager.
  • The task of a key control is to minimise or prevent the occurrence of risks through certain control activities.
  • The risk assessment and the traceability of the execution of the key control is precisely documented in the risk-control matrix.
  • The risk assessment is carried out through a realistic estimation of the amount of damage and the probability of occurrence.

Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird.

 

  • Dieser Kontrollschritt = Key Control hat als Aufgabe durch bestimmte Kontrolltätigkeiten den Risikoeintritt zu minimieren bzw. zu verhindern.
  • Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.
  • Die Risikobewertung erfolgt durch eine realistische Einschätzung von Schadenshöhe und Eintrittswahrscheinlichkeit.

 

Die "Praxis Schulung IKS" erklärt die Anwendung der Key Controls im Detail.

 

The risk-control-matrix includes all key controls that have been identified and set up by the process managers for their processes. A key control is a financially risky control step whose risk is identified and assessed. The risk assessment and the traceability of the execution of the key control is precisely documented in the risk-control-matrix, which consists of several parts.

Process Information

  • Process ID
  • Process name
  • Key Control ID
  • Process manager
  • Process step/activity

Check for ICS relevance

  • Financial risk
  • Key Control - yes or no
  • Further procedure

Risk Assessment

  • Risk owner
  • Risk description
  • Impact of the risk
  • Risk assessment - amount of damage and occurrence

Control information

  • Control description
  • Control responsibility
  • Control cycle
  • Type of control
  • Proof of control

Last evaluation

  • Date
  • Auditor
  • Result of the sampling

In der Risiko-Kontroll-Matrix werden alle Key Controls aufgenommen, die in einer Erhebung durch die Prozessverant-wortlichen festgestellt wurden. Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, des-sen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird. Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.

Eintrittswahrscheinlichkeit

Die Eintrittswahrscheinlichkeit wird in Jahren gemessen und zwar muss jener Zeitraum gewählt werden in dem der Risikoeintritt erwartet wird. Diese Bewertung ergibt sich aus einer realistischen Einschätzung bzw. auf Basis von Erfahrungen.

Score 1:   sehr gering: > 10 Jahre
Score 2:   gering: 4 – 10 Jahre
Score 3:   mittel: 2 – 4 Jahre
Score 4:   hoch: 0 – 2 Jahre

Schadenshöhe

Das Schadensausmaß wird mit Beträge von 0,3 Mio. bis 5 Mio Euro bewertet. Die Einschätzung des Schadensausmaßes beschränkt sich nicht nur auf den erwarteten Schaden für das eigene Strukturelemente, sondern für die gesamte TU Wien.

Score 1: unwesentlich < 0,3 Mio. pro Jahr
Keine spürbare Auswirkung auf Forschung oder Lehre

Score 2: minimal 0,3 - 1 Mio. pro Jahr
Kleinere Beeinträchtigungen der Lehre und kleinere Behinderungen der Forschung

Score 3: wesentlich 1 - 5 Mio. pro Jahr
Erhöhung des Dropouts und der Studiendauer sowie Verlust von Forschungskompetenz, -renommee (Drittmitteln)

Score 4: gefährdend > 5 Mio. pro Jahr
Beinahe Zusammenbruch der Lehre, überwiegende Einstellung der Forschung

Risikoberechnung

Der Gesamtscore für das Risiko ergibt sich durch das Aufsummieren der Scores z.B.:
"Score 1 sehr gering: > 10 Jahre" + "Score 1 unwesentlich < 0,2 Mio pro Jahr" = 2

Als kritische Risikobewertung wird ein Gesamtscore von 5 und größer gesehen. Diese Key Controls werden in den jährlichen Stichproben bevorzugt überprüft.

 

Die "Praxis Schulung IKS" erklärt die Anwendung der Risikoberechnung im Detail.

The probability of occurrence is measured in years. The time period in which the risk is expected to occur must be selected. This evaluation results due to realistic assessment or on experience.

The probability of occurrence is shown with 4 scores, score 1 = very low (risk event > 10 years ago), score 2 = low (risk event 4 - 10 years ago), score 3 = medium (risk event 2 - 4 years ago), score 4 = high (risk event 2 years ago).

Die jährliche Aktualisierung erfolgt nach dem IKS Kreislauf:

  • Emailaussendung an den_die Prozessgruppenverantwortliche_n durch den_die IKS Beauftragte_n.
  • Vollständigkeit der Prozessverantwortliche_n wird geprüft
  • Prozessverantwortliche_n werden betreffend anstehender Aktualisierungstätigkeit/ Prüfung notwendiger Neuerstellung von Prozessen/Risiko-Kontroll-Matrix informiert
  • Nach Bedarf Legal + Compliance prüfen
  • 1 Freigabe der aktualisierten/ neu erstellten Prozesse samt Risiko-Kontroll-Matrix durch Prozessverantwortliche_n
  • 2. Freigabe durch den_die IKS Beauftragte
  • 3. Freigabe durch den_die Prozessgruppenverantwortliche_n
  • Gesamte Risiko-Kontroll-Matrix wird aktualisiert
  • Prozesse werden auf der Website aktualisiert
  • Jährliche Stichproben bei den Key Controls werden gemacht
  • Jährliche Berichterstattung an das Rektorat

The extent of the damage is estimated at between 0.3 million and 5 million euros. The assessment of the extent of damage is not limited to the expected damage for the own structural element (department, division), but for the entire TU Wien.

The amount of damage is shown in 4 scores with annual amounts, score 1 = insignificant with max. 0.3 million euros, score 2 = minimal with 0.3 - 1 million euros, score 3 = significant with 1 - 5 million euros, score 4 = endangering with > 5 million euros.

The total risk score is calculated by adding up the scores, e.g. "Score 1 very low: > 10 years" + "Score 1 insignificant < 0.2 million per year" = 2:
"Score 1 very low: > 10 years" + "Score 1 insignificant < 0.2 million per year" = 2

A total score of 5 and higher is considered a critical risk assessment. These key controls are prioritised in the annual random checks.

.

Further information is available to process managers at ICS Workplace, opens an external URL in a new window.