Dieser Abschnitt beinhaltet eine detaillierte Erläuterung wie das DEMI Modell funktioniert, was eine Key Control ist und warum es wichtig ist Key Controls in der Risiko-Kontroll-Matrix genau zu definieren.

Das an der TU Wien verwendete DEMI Modell, ist ein Flussdiagramm, das sich besonders durch die klar definierten und übersichtlichen Verantwortlichkeiten je Prozessschritt auszeichnet. Für jeden Prozessschritt kann immer nur ein Strukturelement oder ein_e Leiter_in für "Durchführung" oder "Entscheidung" definiert werden, während bei Mitarbeit und Information auch mehrere Strukturelemente beziehungsweise Leiter_innen angeführt werden können.

 

  • D … Durchführung (1 Verantwortliche_r)
  • E … Entscheidung (1 Verantwortliche_r)
  • M … Mitarbeit (mehrere Strukturelemente möglich)
  • I … Information (mehrere Strukturelemente möglich)

 

Abgebildet sind die Spalten des DEMI Modells von links nach rechts: Input, Ablauf, Output, D, E, M, I

  • Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird.
  • Dieser Kontrollschritt = Key Control hat als Aufgabe durch bestimmte Kontrolltätigkeiten den Risikoeintritt zu minimieren bzw. zu verhindern.
  • Die Risikobewertung und die Nachvollziehbarkeit der Durchführung der Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert.
  • Die Risikobewertung erfolgt durch eine realistische Einschätzung von Schadenshöhe und Eintrittswahrscheinlichkeit.

In der Risiko-Kontroll-Matrix werden alle Key Controls aufgenommen, die in einer Erhebung durch die Prozessverantwortlichen festgestellt wurden. Unter einer Key Control ist ein finanzrisikobehafteter Kontrollschritt zu verstehen, dessen Risiko vom_von der Prozessverantwortlichen erkannt, bewertet und mit einer bestimmten Kontrolle versehen wird. Die Risikobewertung und die Information zum Kontrollnachweis je Key Control wird in der Risiko-Kontroll-Matrix genau dokumentiert, sie setzt sich aus mehreren Teilen zusammen.

Prozessinformation

  • Prozess-ID
  • Prozessname
  • Key Control-ID
  • Prozessverantwortliche_r
  • Prozessschritt/-aktivität

Prüfung auf IKS Relevanz

  • Finanzielles Risiko
  • Key Control - ja oder nein
  • Weitere Vorgehensweise

Risikobewertung

  • Risikoeigner
  • Risikobeschreibung
  • Auswirkung des Risikos
  • Risikobewertung - Schadenshöhe und Eintritt

Kontrollinformation

  • Kontrollbeschreibung
  • Kontrollverantwortung
  • Kontrollzyklus
  • Kontrollart
  • Kontrollnachweis

Letzte Evaluierung

  • Datum
  • Prüfer_in
  • Ergebnis der Stichprobenprüfung

Die Eintrittswahrscheinlichkeit wird in Jahren gemessen und zwar muss jener Zeitraum gewählt werden in dem der Risikoeintritt erwartet wird. Diese Bewertung ergibt sich aus einer realistischen Einschätzung bzw. auf Basis von Erfahrungen.

Die Eintrittswahrscheinlichkeit wird mit 4 Scores ausgewiesen, Score 1 = sehr gering (Risikoereignis > 10 Jahre zurück), Score 2 = gering (Risikoereignis 4 - 10 Jahre zurück), Score 3 = mittel (Risikoereignis 2 - 4 Jahre zurück), Score 4 = hoch (Risikoereignis 2 Jahre zurück)

Das Schadensausmaß wird mit Beträge von 0,3 Mio. bis 5 Mio. Euro bewertet. Die Einschätzung des Schadensausmaßes beschränkt sich nicht nur auf den erwarteten Schaden für das eigene Strukturelement, sondern bezieht sich auf die gesamte TU Wien.

Die Schadenshöhe wird in 4 Scores mit jährlichen Beträgen ausgewiesen, Score 1 = unwesentlich mit max. 0,3 Mio. Euro, Score 2 = minimal mit 0,3 - 1 Mio. Euro, Score 3 = wesentlich mit 1 - 5 Mio. Euro, Score 4 = gefährdend mit > 5 Mio. Euro

Der Gesamtscore für das Risiko ergibt sich durch das Aufsummieren der Scores z.B.:
"Score 1 sehr gering: > 10 Jahre" + "Score 1 unwesentlich < 0,2 Mio. pro Jahr" = 2

Als kritische Risikobewertung wird ein Gesamtscore von 5 und größer gesehen. Diese Key Controls werden in den jährlichen Stichproben bevorzugt überprüft.