Dieser Abschnitt beinhaltet eine detaillierte Erläuterung wie das DEMI Modell funktioniert, was eine Key Control ist und warum es wichtig ist Key Controls in der Risiko-Kontroll-Matrix genau zu definieren.
Das an der TU Wien verwendete DEMI Modell, ist ein Flussdiagramm, das sich besonders durch die klar definierten und übersichtlichen Verantwortlichkeiten je Prozessschritt auszeichnet. Für jeden Prozessschritt kann immer nur ein Strukturelement oder ein_e Leiter_in für "Durchführung" oder "Entscheidung" definiert werden, während bei Mitarbeit und Information auch mehrere Strukturelemente beziehungsweise Leiter_innen angeführt werden können.
- D … Durchführung (1 Verantwortliche_r)
- E … Entscheidung (1 Verantwortliche_r)
- M … Mitarbeit (mehrere Strukturelemente möglich)
- I … Information (mehrere Strukturelemente möglich)

Das an der TU Wien verwendete DEMI Modell, ist ein Flussdiagramm, das sich besonders durch die klar definierten und übersichtlichen Verantwortlichkeiten je Prozessschritt auszeichnet. Für jeden Prozessschritt kann immer nur ein Strukturelement oder ein_e Leiter_in für "Durchführung" oder "Entscheidung" definiert werden, während bei Mitarbeit und Information auch mehrere Strukturelemente beziehungsweise Leiter_innen angeführt werden können.
- D … Durchführung (1 Verantwortliche_r)
- E … Entscheidung (1 Verantwortliche_r)
- M … Mitarbeit (mehrere Strukturelemente möglich)
- I … Information (mehrere Strukturelemente möglich)
Die "Praxis Schulung IKS" erklärt die Anwendung des DEMI Modells im Detail.
- Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird.
- Dieser Kontrollschritt = Key Control hat als Aufgabe durch bestimmte Kontrolltätigkeiten den Risikoeintritt zu minimieren bzw. zu verhindern.
- Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.
- Die Risikobewertung erfolgt durch eine realistische Einschätzung von Schadenshöhe und Eintrittswahrscheinlichkeit.
In der Risiko-Kontroll-Matrix werden alle Key Controls aufgenommen, die in einer Erhebung durch die Prozessverantwortlichen festgestellt wurden. Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird. Die Risikobewertung und die Information zum Kontrollnachweis je Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert, sie setzt sich aus mehreren Teilen zusammen.
Prozessinformation
- Prozess-ID
- Prozessname
- Key Control-ID
- Prozessverantwortliche_r
- Prozessschritt/-aktivität
Prüfung auf IKS Relevanz
- Finanzielles Risiko
- Key Control - ja oder nein
- Weitere Vorgehensweise
Risikobewertung
- Risikoeigner
- Risikobeschreibung
- Auswirkung des Risikos
- Risikobewertung - Schadenshöhe und Eintritt
Kontrollinformation
- Kontrollbeschreibung
- Kontrollverantwortung
- Kontrollzyklus
- Kontrollart
- Kontrollnachweis
Letzte Evaluierung
- Datum
- Prüfer_in
- Ergebnis der Stichprobenprüfung
Die Eintrittswahrscheinlichkeit wird in Jahren gemessen und zwar muss jener Zeitraum gewählt werden in dem der Risikoeintritt erwartet wird. Diese Bewertung ergibt sich aus einer realistischen Einschätzung bzw. auf Basis von Erfahrungen.

Das Schadensausmaß wird mit Beträge von 0,3 Mio. bis 5 Mio. Euro bewertet. Die Einschätzung des Schadensausmaßes beschränkt sich nicht nur auf den erwarteten Schaden für das eigene Strukturelement, sondern bezieht sich auf die gesamte TU Wien.

Der Gesamtscore für das Risiko ergibt sich durch das Aufsummieren der Scores z.B.:
"Score 1 sehr gering: > 10 Jahre" + "Score 1 unwesentlich < 0,2 Mio. pro Jahr" = 2
Als kritische Risikobewertung wird ein Gesamtscore von 5 und größer gesehen. Diese Key Controls werden in den jährlichen Stichproben bevorzugt überprüft.
Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird.
- Dieser Kontrollschritt = Key Control hat als Aufgabe durch bestimmte Kontrolltätigkeiten den Risikoeintritt zu minimieren bzw. zu verhindern.
- Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.
- Die Risikobewertung erfolgt durch eine realistische Einschätzung von Schadenshöhe und Eintrittswahrscheinlichkeit.
Die "Praxis Schulung IKS" erklärt die Anwendung der Key Controls im Detail.
In der Risiko-Kontroll-Matrix werden alle Key Controls aufgenommen, die in einer Erhebung durch die Prozessverant-wortlichen festgestellt wurden. Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, des-sen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird. Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.
Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit wird in Jahren gemessen und zwar muss jener Zeitraum gewählt werden in dem der Risikoeintritt erwartet wird. Diese Bewertung ergibt sich aus einer realistischen Einschätzung bzw. auf Basis von Erfahrungen.
Score 1: sehr gering: > 10 Jahre
Score 2: gering: 4 – 10 Jahre
Score 3: mittel: 2 – 4 Jahre
Score 4: hoch: 0 – 2 Jahre
Schadenshöhe
Das Schadensausmaß wird mit Beträge von 0,3 Mio. bis 5 Mio Euro bewertet. Die Einschätzung des Schadensausmaßes beschränkt sich nicht nur auf den erwarteten Schaden für das eigene Strukturelemente, sondern für die gesamte TU Wien.
Score 1: unwesentlich < 0,3 Mio. pro Jahr
Keine spürbare Auswirkung auf Forschung oder Lehre
Score 2: minimal 0,3 - 1 Mio. pro Jahr
Kleinere Beeinträchtigungen der Lehre und kleinere Behinderungen der Forschung
Score 3: wesentlich 1 - 5 Mio. pro Jahr
Erhöhung des Dropouts und der Studiendauer sowie Verlust von Forschungskompetenz, -renommee (Drittmitteln)
Score 4: gefährdend > 5 Mio. pro Jahr
Beinahe Zusammenbruch der Lehre, überwiegende Einstellung der Forschung
Risikoberechnung
Der Gesamtscore für das Risiko ergibt sich durch das Aufsummieren der Scores z.B.:
"Score 1 sehr gering: > 10 Jahre" + "Score 1 unwesentlich < 0,2 Mio pro Jahr" = 2
Als kritische Risikobewertung wird ein Gesamtscore von 5 und größer gesehen. Diese Key Controls werden in den jährlichen Stichproben bevorzugt überprüft.
Die "Praxis Schulung IKS" erklärt die Anwendung der Risikoberechnung im Detail.
Die jährliche Aktualisierung erfolgt nach dem IKS Kreislauf:
- Emailaussendung an den_die Prozessgruppenverantwortliche_n durch den_die IKS Beauftragte_n.
- Vollständigkeit der Prozessverantwortliche_n wird geprüft
- Prozessverantwortliche_n werden betreffend anstehender Aktualisierungstätigkeit/ Prüfung notwendiger Neuerstellung von Prozessen/Risiko-Kontroll-Matrix informiert
- Nach Bedarf Legal + Compliance prüfen
- 1 Freigabe der aktualisierten/ neu erstellten Prozesse samt Risiko-Kontroll-Matrix durch Prozessverantwortliche_n
- 2. Freigabe durch den_die IKS Beauftragte
- 3. Freigabe durch den_die Prozessgruppenverantwortliche_n
- Gesamte Risiko-Kontroll-Matrix wird aktualisiert
- Prozesse werden auf der Website aktualisiert
- Jährliche Stichproben bei den Key Controls werden gemacht
- Jährliche Berichterstattung an das Rektorat