für die Literaturrecherche
Tabelle A.1 Suchbegriffe der Literaturrecherche1
IT-Unterstützung im Risikomanagement
deutsch englisch
– IT-Unterstützung Risikomanagement – Risikomanagementstandardsoftware – Risikomanagementsoftware
– Risikomanagementinformationssystem – RMIS
– IT-basiertes Risikomanagement – IT-unterstütztes Risikomanagement – IT-gestütztes Risikomanagement – Softwarebasiertes Risikomanagement – Software Risikomanagement – Computergestütztes
Risikomanagement
– DV-gestütztes Risikomanagement
– IT-support (Enterprise) Risk Management – (Enterprise) Risk Management Standard
Software
– (Enterprise) Risk Management Software – (Enterprise) Risk Management Information
System – (E)RMIS
– IT-based (Enterprise) Risk Management – IT-supported (Enterprise) Risk Management – Software-based (Enterprise) Risk
Management
– (Enterprise) Risk Management Tool (Fortsetzung)
1Eigene Darstellung.
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
471
Tabelle A.1 (Fortsetzung)
IT-Unterstützung in GRC-Systemen
deutsch englisch
– IT-Unterstützung in GRC-Systemen – IT-gestützte GRC-Systeme – GRC-Software
– GRC Standardsoftware – GRC-Informationssysteme – IT-basiertes GRC – IT-unterstütztes GRC – Softwarebasiertes GRC – Software GRC
– Computergestütztes GRC – DV-gestütztes GRC
– IT-support GRC – GRC Standard Software – GRC Software
– GRC Information System – IT-based GRC
– IT-supported GRC – Software-based GRC – GRC Tool
RM-Standardsoftwarenutzer
A. Informationen zum Interviewpartner und dem Risikomanagementsystem
A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über die Aufzeichnung des Interviews.
A.2 Informationen zum Unternehmen (Größe, Branche).
A.3 Welche Position nehmen Sie in Ihrem Unternehmen ein und was sind Ihre Aufgaben?
A.4 Wie lange sind Sie in der jetzigen Position beschäftigt?
A.5 Beschreiben Sie kurz Ihr Risikomanagementsystem. Welche Ziele verfolgt dieses und wie lange existiert es bereits?
A.6 Welche Art von RM-Standardsoftware nutzen Sie (reine
RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System)? Wie ist der Name des Anbieters? Wie viele Personen arbeiten mit dieser Software und seit wann ist diese im Einsatz?
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
473
B. Auswahl und Einführung der RM-Standardsoftware
B.1 Welche Form/en der IT-Unterstützung fand/en vor Einführung der RM-Standardsoftware ihren Einsatz (und wie lange)? Wo kam/en diese an ihre Grenzen bzw. was war der Grund für die Entscheidung eine RM-Standardsoftware einzuführen?
B.2 Anhand welcher drei Kriterien bzw. Anforderungen wurde sich im Rahmen der Auswahl der RM-Standardsoftware orientiert? Was war letztlich der entscheidende Grund bzw. die entscheidenden Gründe, warum Sie sich für Ihre jetzige Lösung entschieden haben?
B.3 Wie würden Sie, auf Basis Ihrer Erfahrungen während der Auswahl Ihrer Lösung, den Markt für RM-Standardsoftwarelösungen beschreiben?
B.4 Fand ein Customizing in der von Ihnen ausgewählten RM-Standardsoftware statt? Wenn ja,
a) in welchem Umfang fand das Customizing statt?
b) wer führte das Customizing durch?
c) konnten Wünsche bzw. Anregungen Ihrerseits nicht im Rahmen des Customizings umgesetzt werden? Wie wurde mit diesen Abstrichen umgegangen?
B.5 Wie erfolgte die Einspeisung der Risikodaten?
B.6 Wie wurden die Beteiligten der Risikomanagementorganisation mit der RM-Standardsoftware vertraut gemacht? In welchem Rahmen fanden Schulungen statt und wer führte diese durch?
B.7 Wie lange hat die Einführung vom Zeitpunkt der Auswahl bis hin zum erstmaligen Einsatz gedauert und wie würden Sie den Support vom Softwarehersteller während des Zeitraums beurteilen?
C. Verwendung der RM-Standardsoftware in der Praxis
C.1 Wie ist das Lizenzmodell Ihrer RM-Standardsoftware? Wie viele Personen können parallel damit arbeiten? Wie wird die Software genutzt (über Browser oder lokale Installation)?
C.2 Welche Unterstützung bietet die RM-Standardsoftware in Bezug auf die organisatorischen Elemente des Risikomanagements im Hinblick auf:
a) die Abbildung der Risikomanagementorganisation bzw.
Organisationsstruktur, der Abteilungen und Tochtergesellschaften? Wie aufwändig sind Änderungen?
b) die Vergabe von Rollen- und Berechtigungskonzepten sowie Zugriffsrechten?
c) die Bereitstellung von Vorschriften bzw. Risikomanagementleitlinien?
d) die Festlegung von Sprachen und Währungen?
C.3 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre RM-Standardsoftware
a) die Risikoidentifikation?
b) die Risikobewertung?
c) die Risikobewältigung?
d) die Risikoaggregation?
e) das Risikoreporting?
f) die Risikoüberwachung?
C.4 Veränderungen für die Beteiligten der Risikomanagementorganisation:
a) Wie würden Sie die zeitliche Einsparung bei Routinearbeiten beurteilen?
b) Wie erfolgt die Kommunikation zwischen den Beteiligten der Risikomanagementorganisation innerhalb der RM-Standardsoftware?
Kann eine verbesserte Kommunikation festgestellt werden?
c) Konnten Veränderungen im Hinblick auf die Risikowahrnehmung im Unternehmen festgestellt werden?
d) Wie ist das Feedback der Beteiligten der
Risikomanagementorganisation, welche die RM-Standardsoftware verwenden?
e) Gibt es häufig auftretende Probleme, welche sich aus der Verwendung der RM-Standardsoftware ergeben? Wenn ja, wie können diese kompensiert werden?
C.5 Nachfolgend sollen Veränderungen im Hinblick auf Ihr Aufgabenspektrum betrachtet werden:
a) Wie hoch schätzen Sie den administrativen Aufwand ein (Stunden/Woche)?
b) Welche zeitlichen Einsparungen bei Routinearbeiten ergeben sich?
c) Wie hat sich Ihr Aufgabenspektrum ggü. der vorangegangenen Lösung verändert?
C.6 Welche Anforderungen/Funktionen würden Sie sich ergänzend zu Ihrer jetzigen Lösung wünschen bzw. was vermissen Sie?
C.7 Kann durch die Verwendung der RM-Standardsoftware ein erhöhter Informationsstand an risikobezogenen Daten festgestellt werden, welcher zur Verbesserung der Entscheidungsfindung Ihrerseits bzw. des
Managements beiträgt?
C.8 Wie würden Sie die Revisionssicherheit durch die RM-Standardsoftware bewerten?
C.9 Wie und in welcher Form findet generell ein Austausch mit dem Softwareanbieter statt? Wird die Software vom Anbieter um Updates
D. Zusammenfassung und Ausblick
D.1 In welchen der nachfolgenden Reifegrade des Risikomanagements würden Sie Ihr Risikomanagement vor Verwendung der RM-Standardsoftware einordnen und wo sehen Sie es jetzt mit der Verwendung der
RM-Standardsoftware? Bitte erläutern Sie diese Einordnungen kurz. (nicht existentes Risikomanagement / informelles bzw. initiales
Risikomanagement / standardisiertes Risikomanagement / umfassendes Risikomanagement)
D.2 Wie beurteilen Sie Ihre RM-Standardsoftware insgesamt? Bitte erläutern Sie Ihre Beur teilung kurz.
sehr positiv positiv neutral negativ sehr negativ D.3 Wie beurteilen Sie Ihre RM-Standardsoftware gegenüber Ihrer
vorangegangenen Lösung? Bitte erläutern Sie Ihre Beurteilung kurz.
sehr positiv positiv neutral negativ sehr negativ D.4 Was sehen Sie als zentrale Stärken und Schwächen Ihrer
RM-Standardsoftware an?
D.5 Welche Herausforderung/en an Ihre RM-Standardsoftware sehen Sie in der Zukunft?
D.6 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden?
Nutzer von Eigenentwicklungen
A. Informationen zum Interviewpartner und dem Risikomanagementsystem
A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über die Aufzeichnung des Interviews.
A.2 Informationen zum Unternehmen (Größe, Branche).
A.3 Welche Position nehmen Sie in Ihrem Unternehmen ein und was sind Ihre Aufgaben?
A.4 Wie lange sind Sie in der jetzigen Position beschäftigt?
A.5 Beschreiben Sie kurz Ihr Risikomanagementsystem. Welche Ziele verfolgt dieses und wie lange existiert es bereits?
B. Entstehung und Verwendung der Eigenentwicklung
B.1 Beschreiben Sie Ihre Form der Eigenentwicklung für das
Risikomanagement. Wie lange nutzen Sie diese bereits und wie viele Personen arbeiten damit?
B.2 Haben Sie zuvor eine andere Form/andere Formen der IT-Unterstützung im Risikomanagement genutzt? Wenn ja, wo kam/en diese an ihre Grenzen?
B.3 Was waren die wesentlichen Gründe für die Entscheidung für Ihre Eigenentwicklung?
B.4 Wer hat bei der Entwicklung Ihrer IT-Unterstützung mitgewirkt?
B.5 Wie wurden die Beteiligten der Risikomanagementorganisation mit der Eigenentwicklung vertraut gemacht?
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
477
B.6 Wie lange dauerte die Entstehung bis zur endgültigen Verwendung Ihrer Eigenentwicklung?
B.7 Welche Unterstützung bietet Ihre Eigenentwicklung in Bezug auf die organisatorischen Elemente des Risikomanagements im Hinblick auf:
a) die Abbildung der Risikomanagementorganisation bzw.
Organisationsstruktur, der Abteilungen und Tochtergesellschaften?
b) die Vergabe von Rollen- und Berechtigungskonzepten sowie Zugriffsrechten?
c) die Bereitstellung von Vorschriften bzw. Risikomanagementleitlinien?
d) die Festlegung von Sprachen und Währungen?
B.8 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre Eigenentwicklung
a) die Risikoidentifikation?
b) die Risikobewertung?
c) die Risikobewältigung?
d) die Risikoaggregation?
e) das Risikoreporting?
f) die Risikoüberwachung?
B.9 Welche Anforderungen/Funktionen würden Sie sich innerhalb Ihrer Eigenentwicklung ergänzend wünschen bzw. was vermissen Sie?
B.10 Fragen bzgl. der Beteiligten der Risikomanagementorganisation:
a) Wie erfolgt die Kommunikation zwischen den einzelnen Beteiligten der Risikomanagementorganisation innerhalb Ihrer Eigenentwicklung?
b) Wie ist das Feedback der Beteiligten der
Risikomanagementorganisation, welche die Eigenentwicklung verwenden?
c) Gibt es häufig auftretende Probleme, welche sich aus der Verwendung der Eigenentwicklung ergeben? Wenn ja, wie können diese kompensiert werden?
B.11 Inwieweit sind Sie in ihrem Aufgabenspektrum mit der Pflege der Eigenentwicklung beschäftigt (Stunden/Woche)?
B.12 Finden Updates/Weiterentwicklungen innerhalb Ihrer Eigenentwicklung statt? Wenn ja, was sind dabei die wesentlichen Treiber und wie hilfreich sind die Weiterentwicklungen?
B.13 Wie würden Sie die Revisionssicherheit durch Ihre Eigenentwicklung bewerten?
C. Zusammenfassung und Ausblick
C.1 In welchen Reifegrad würden Sie Ihr Risikomanagement zum Zeitpunkt der Einführung der Eigenentwicklung einordnen und wo sehen Sie es jetzt? Bitte erläutern Sie diese Einordnungen kurz. (nicht existentes Risikomanagement / informelles bzw. initiales Risikomanagement / standardisiertes Risikomanagement / umfassendes Risikomanagement) C.2 Wie beurteilen Sie Ihre Eigenentwicklung insgesamt? Bitte erläutern Sie
Ihre Beurteilung kurz.
sehr positiv positiv neutral negativ sehr negativ C.3 Was sehen Sie als zentrale Stärken und Schwächen Ihrer
Eigenentwicklung an?
C.4 Welche Herausforderungen an Ihre Eigenentwicklung sehen sie in der Zukunft?
C.5 Was spricht gegen die Verwendung einer RM-Standardsoftware (reine RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System) innerhalb Ihrer Risikomanagementorganisation?
Was müsste sich an bestehenden etablierten
RM-Standardsoftwarelösungen ändern, damit diese für Sie attraktiv wären?
C.6 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden?
RM-Standardsoftwareanbieter
A. Informationen zum Gesprächspartner und der angebotenen RM-Standardsoftware A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über
die Aufzeichnung des Interviews.
A.2 Informationen zum Unternehmen (Größe, Branche).
A.3 Welche Position nehmen Sie in Ihrem Unternehmen ein und was sind Ihre Aufgaben?
A.4 Wie lange sind Sie in der jetzigen Position beschäftigt?
A.5 Welche Art von RM-Standardsoftware bieten Sie an (reine
RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System)? Wie heißt diese und wie lange existiert sie schon am Markt?
A.6 Fragen bzgl. Ihrer Kunden:
a) Wie viele Implementierungen Ihrer Softwarelösung wurden bisher durchgeführt?
b) Wie würden Sie die Kundenstruktur beschreiben (Branche, Größe, etc.)?
c) Wie viele Personen arbeiten in einem Unternehmen durchschnittlich mit Ihrer Software?
B. Einführung der RM-Standardsoftware
B.1 Welche IT-Unterstützung nutzten Ihre Kunden meist vor der Einführung Ihrer RM-Standardsoftware und wo kamen diese Lösungen an ihre Grenzen?
B.2 Können Sie Beispiele nennen, wie Unternehmen i. d. R. bei der Auswahl einer RM-Standardsoftware vorgehen? Welche Kriterien bzw.
Anforderungen sind Ihrer Meinung nach besonders wichtig?
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
https://doi.org/10.1007/978-3-658-37081-7
481
B.3 In welchem Reifegrad befinden sich meist die Risikomanagementsysteme Ihre Kunden beim Entschluss eine RM-Standardsoftware einzuführen (nicht existentes RM / informelles bzw. initiales RM / standardisiertes RM / umfassendes RM)? In welchem Reifegrad ist es Ihrer Meinung nach am sinnvollsten eine RM-Standardsoftware einzuführen und warum?
B.4 Wie erfolgt die Einspeisung der Risikodaten in Ihre RM-Standardsoftware?
B.5 Ist innerhalb Ihrer RM-Standardsoftware ein Customizing möglich? Wenn ja,
a) in welchem Umfang?
b) welche Wünsche bzw. Anregungen wurden von Ihren Kunden am häufigsten geäußert?
c) können Wünsche bzw. Anregungen Ihrer Kunden zum Teil nicht umgesetzt werden? Wie wird mit diesen Abstrichen verfahren?
B.6 Was sind häufig auftretende Schwierigkeiten bei der Einführung einer RM-Standardsoftware? Wie können diese umgangen werden?
B.7 Wie lange dauert durchschnittlich die Einführung Ihrer
RM-Standardsoftware vom Zeitpunkt der Auswahl bis hin zum erstmaligen Einsatz und welche Betreuungsleistung/en bieten Sie Ihren Kunden während der Einführung an?
C. Verwendung der RM-Standardsoftware in der Praxis
C.1 Wie werden die Beteiligten einer Risikomanagementorganisation typischerweise mit Ihrer RM-Standardsoftware vertraut gemacht und in welchem Umfang wirken Sie mit?
C.2 Welche Unterstützung bietet Ihre RM-Standardsoftware in Bezug auf die organisatorischen Elemente des Risikomanagements und über welche Veränderungen berichten Ihre Kunden im Vergleich zu/r vorangegangenen Lösung/en im Hinblick auf:
a) die Abbildung der Risikomanagementorganisation bzw.
Organisationsstruktur, der Abteilungen und Tochtergesellschaften?
b) die Vergabe von Rollen- und Berechtigungskonzepten sowie Zugriffsrechten?
c) die Bereitstellung von Vorschriften bzw. Risikomanagementleitlinien?
d) die Festlegung von Sprachen und Währungen?
C.3 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre RM-Standardsoftware
a) die Risikoidentifikation?
b) die Risikobewertung?
c) die Risikobewältigung?
d) die Risikoaggregation?
e) das Risikoreporting?
f) die Risikoüberwachung?
C.4 Welches Feedback erhalten Sie von Ihren Kunden bzgl. der Akzeptanz Ihrer RM-Standardsoftware im Unternehmen? Wie konnten mögliche
Hemmnisse beseitigt werden?
C.5 Wie wirkt sich die Verwendung Ihrer RM-Standardsoftware Ihrer Meinung nach auf das Aufgabenspektrum des Risikomanagers aus?
C.6 In welchem Umfang betreuen Sie Ihre Kunden nach Einführung der RM-Standardsoftware? Inwelcher Form finden Updates statt? Was sind die wesentlichen Treiber bei der Weiterentwicklung?
C.7 Wie würden Sie die Revisionssicherheit durch Ihre RM-Standardsoftware bewerten? Welche Rückmeldung geben Ihre Kunden bzgl. Veränderungen gegenüber deren vorherigen Lösung/en?
D. Zusammenfassung und Ausblick
D.1 Welche positiven bzw. negativen Rückmeldungen erhalten Sie als Feedback von Ihren Kunden?
D.2 Wie Schätzen Sie den Markt von RM-Standardsoftwarelösungen gesamthaft ein?
D.3 Welche Argumente führen Sie im Hinblick auf Kunden an, welche eine Indivuallösung bzw. Eigenentwicklung zur IT-Unterstützung im Risikomanagement bevorzugen?
D.4 Was müssen RM-Standardsoftwareanbieter in Zukunft ändern, damit eine höhere Verbreitung entsteht?
D.5 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden
Insgesamt entfielen auf das Sample der Risikomanager mit RM- Standardsoftwarelösung 1.812 Kodierungen, der Risikomanager mit Eigenentwicklung 1.439 Kodierungen, der RM-Standard-softwareanbieter 451 Kodierungen sowie den RM-Standardsoftwareberater 117 Kodierungen.
Tabelle E.1 Kategoriensystem2
1.2.2.1 1.2.2.2 1.2.3 1.2.4 1.2.5 1.3
1.3.1 1.3.1.1 1.3.1.2 1.3.1.3 1.3.1.4 1.3.2
1.3.2.1 1.3.2.2
Rein Risikomanagement Ergänzende Bereiche Aufgabenbereich Anbieter/Berater Dauer der Beschäftigung Beruflicher Hintergrund
Beschreibung des Risikomanagementsystems Ziele
Aktive Maßnahmenverfolgung Schaffung von Transparenz Einhaltung von Gesetzen
Sicherung der Planeinhaltung und Zielerreichung Personelle Ausgestaltung
Ein-Personen-Risikomanagement Mehr-Personen-Risikomanagement
15 13 7 32 14 250
64 13 24 15 12 27
15 12
Ebene Kategorienbezeichnung Kodierungen
1 1.1
1.1.1 1.1.2 1.1.3 1.2
1.2.1 1.2.2
Allgemeine Informationen Informationen zum Unternehmen
Unternehmenszahlen Rechtsform Branche
Informationen zum Interviewpartner Position
Aufgabenbereich Risikomanager
583 102
37 31 34 112
31 28
(Fortsetzung)
2Eigene Darstellung.
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
485
Tabelle E.1 (Fortsetzung)
1.3.3 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.3.5 1.3.4 1.3.5 1.3.6 1.3.7
1.3.7.1 1.3.7.2 1.3.7.3 1.3.7.4 1.3.7.5 1.4
1.4.1 1.4.1.1 1.4.1.2 1.4.1.3 1.4.1.4 1.4.2
Organisatorische Einbettung Controlling
Interne Revision Rechnungswesen Geschäftsführung Abweichend
Einsatz des Gegenstromverfahrens Berichtszyklen
Anzahl der Einzelrisiken Orientierte Standards
COSO ISO IDW Eigenkreaktion
Branchenspezifische Standards
Beschreibung der IT-Unterstützung im Risikomanagement Art RM-Standardsoftware und Zeitpunkt der Einführung
Reine RM-Standardsoftware
RM-Modulstandardlösung innerhalb ERP-System Standardsoftware mit RM-Komponente Lizenzmodelle
Art der Eigenentwicklung und Zeitpunkt der Einführung
34 13 6 3 4 8 27 28 29 41 7 8 4 18 4 100
52 21 4 10 17 48 1.4.2.1
1.4.2.2 1.4.2.3 1.4.2.4 1.5
1.5.1 1.5.2 1.5.3 1.5.4
Standardbürosoftware Tabellenkalkulation mit Makros Datenbankmanagementsystem mit Makros Themenfremde Standardsoftware Kundenstruktur der RM-Standardsoftwareanbieter
Branchen und Unternehmensgröße Risikomanagementgröße Anzahl der Implementierungen
Anzahl der Nutzer der RM-Standardsoftware
6 25 16 1 19
7 5 3 4
2 2.1
2.1.1 2.1.1.1 2.1.1.2 2.1.1.3 2.1.1.4 2.1.2
2.1.2.1 2.1.2.2 2.1.2.3 2.1.2.4 2.1.2.5 2.1.2.6 2.2
2.2.1 2.2.1.1 2.2.1.2 2.2.1.3
Auswahl u. Einführung der IT-Unterstützung Vorherige Lösung
Beschreibung der vorherigen Lösung Reine RM-Standardsoftware Standardsoftware mit RM-Komponente Standardbürosoftware
Standardbürosoftware mit Makros Auslöser für neue Lösung
Kosten
Weiterentwicklung des Risikomanagements Interne IT-Abteilung
Funktionale Grenzen Arbeits- und Pflegeaufwand Personenbedingte Grenzen
Auswahl und Einführung einer RM-Standardsoftware Vorgehen bei der Auswahl
Berücksichtigung im Unternehmen bestehender Lösung Berücksichtigung einer Eigenentwicklung
Berücksichtigung eines Lastenhefts
886 161
44 6 2 25 11 117
3 11 5 39 36 23 557
30 10 5 15
(Fortsetzung)
Tabelle E.1 (Fortsetzung)
2.2.1.6 2.2.1.7
2.2.1.7.1 2.2.1.7.2 2.2.1.7.3 2.2.1.7.4 2.2.1.8
2.2.1.8.1 2.2.1.8.2 2.2.1.8.3 2.2.1.8.4 2.2.1.9 2.2.2
2.2.2.1 2.2.2.1.1 2.2.2.1.2
Ausschreibungsprozess Vorführung ausgewählter Anbieter
Präsentationen
Anzahl betrachteter Lösungen
Einbeziehung Risk Owner/andere Bereiche Austausch Referenzkunden/persönliche Kontakte Finale Entscheidungskriterien
Abbildung bestehender Workflows Usability
Preis Sonstige
Übergeordnete Anbietersicht bei der Auswahl Einführung
Customizing Parametrisierung Individualprogrammierung
13 52
16 8 16 12 28
9 5 8 6 24 229
81 12 17 2.2.1.4
2.2.1.4.1 2.2.1.4.2 2.2.1.4.3 2.2.1.4.4 2.2.1.4.5 2.2.1.4.6 2.2.1.4.7 2.2.1.4.8 2.2.1.4.9 2.2.1.4.10 2.2.1.5
2.2.1.5.1 2.2.1.5.2 2.2.1.5.3
Auswahlkriterien innerhalb eines Lastenhefts Abbildung bestehender Workflows Usability
Flexibilität
RM-prozessspezifische Kriterien Anbieterspezifische Kriterien Abbildung von Standards Rasche Einführung Aspekt der Standardsoftware Preis
Sonstiges
Markteinschätzung RM-Standardsoftware Transparent
Intransparent Anbietereinschätzung
91 16 9 13 14 12 7 3 6 6 5 90
7 28 55
2.2.2.1.3 2.2.2.1.4 2.2.2.1.5 2.2.2.1.6 2.2.2.2
2.2.2.2.1 2.2.2.2.2 2.2.2.3
2.2.2.3.1 2.2.2.3.2
2.2.2.3.2.1 2.2.2.3.2.2 2.2.2.3.2.3 2.2.2.3.2.4 2.2.2.3.2.5 2.2.2.3.2.6 2.2.2.4 2.2.2.5
Durchführung Nichtumsetzungen Kosten Anbietersicht Initiale Befüllung
Einspeisung risikorelevanter Daten
Einspeisung von RM-organisatorischen Elementen Vorgehen Einführung
Testphasen
Vertrautmachen der RM-Organisation Schulungen
Dokumentation
E-Learning/Schulungsvideos Schulung der allgemeinen RM-Thematik Unterstützung vom Anbieter Hürden
Probleme bei der Einführung Anbietersupport bei der Einführung
20 11 8 13 21
12 9 96
18 78 15 10 4 11 20 18 17 14
(Fortsetzung)
Tabelle E.1 (Fortsetzung)
2.3.2 2.3.2.1 2.3.2.2 2.3.2.3 2.3.3
2.3.3.1 2.3.3.2 2.3.4
2.3.4.1 2.3.4.2 2.3.4.3 2.3.4.4 2.4
Erstellung der Eigenentwicklung RM-Abteilung/Risikomanager Interne IT-Abteilung Externer Anbieter Initiale Befüllung
Einspeisung risikorelevanter Daten
Einspeisung von RM-organisatorischen Elementen Vertrautmachen der RM-Organisation
Schulungen Dokumentation E-Learning/Schulungsvideos Schulung der allgemeinen RM-Thematik Rolle des Risikomanagers bei der Einführung
46 22 15 9 17
11 6 29
9 7 4 9 15
3 3.1
3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.2
3.2.1 3.2.1.1 3.2.1.2 3.2.2
3.2.2.1 3.2.2.2 3.3
3.3.1 3.3.1.1
3.3.1.1.1 3.3.1.1.2 3.3.1.2
Verwendung der IT-Unterstützung Zugriff auf IT-Unterstützung
Art des Zugriffs Laufwerk/E-Mail Webbasiert Personen mit Zugriff
Unterstützung organisatorischer Elemente Abbildung der RM-Organisation
Darstellung Änderungen
Rollen- und Berechtigungskonzept Darstellung
Änderungen
Unterstützung der RM-Prozesselemente Risikoidentifikation
Methodik
Persönliche Gespräche Ergänzende Methoden IT-Unterstützung
1.380 70
32 9 23 38 137
57 27 30 80
46 34 818
109 31
20 11 78 2.3
2.3.1 2.3.1.1 2.3.1.2 2.3.1.3 2.3.1.4 2.3.1.5 2.3.1.6 2.3.1.7
Auswahl und Einführung einer Eigenentwicklung Entscheidungsgründe für eine Eigenentwicklung
Flexibilität Hands-On Mentalität
Schlechte Erfahrungen mit RM-Standardsoftware Erzählungen anderer Risikomanager Keine passende Lösung am Markt Akzeptanz der Lösung in RM-Organisation Sonstiges
153 61
13 17 3 2 13 8 5
3.3.1.2.1 3.3.1.2.2 3.3.1.2.3 3.3.1.2.4 3.3.1.2.5 3.3.2
3.3.2.1 3.3.2.1.1 3.3.2.1.2 3.3.2.1.3 3.3.2.1.4
Checklisten
Klassische Risikoerfassung Risikokataloge/-kategorien Aufruf zur Risikomeldung Geringe/keine Unterstützung Risikobewertung
Methodik Quantitativ Qualitativ Semi-Quantitativ
Auswahl zwischen versch. Verfahren
5 19 23 10 21 151
55 18 6 19 12
(Fortsetzung)
Tabelle E.1 (Fortsetzung)
3.3.3 3.3.3.1
3.3.3.1.1 3.3.3.1.2 3.3.3.2
3.3.3.2.1 3.3.3.2.2 3.3.3.2.3 3.3.3.2.4 3.3.3.2.5 3.3.3.2.6 3.3.3.2.7 3.3.3.2.8 3.3.4
3.3.4.1 3.3.4.1.1 3.3.4.1.2 3.3.4.2 3.3.5
3.3.5.1 3.3.5.2 3.3.6
3.3.6.1 3.3.6.1.1 3.3.6.1.2 3.3.6.1.3 3.3.6.1.4 3.3.6.1.5 3.3.6.2 3.3.6.3
3.3.6.3.1 3.3.6.3.2 3.3.6.4
3.3.6.4.1 3.3.6.4.2 3.3.6.4.3 3.3.6.5 3.3.6.6 3.3.6.7 3.3.6.8 3.4
3.4.1 3.4.1.1
Risikobewältigung Methodik
Brutto-Netto-Betrachtung Keine Brutto-Netto-Betrachtung IT-Unterstützung
Maßnahmenbeschreibung Maßnahmenkosten
Abbildung von Maßnahmenzyklus Mehrfachzuordnung von Maßnahmen Maßnahmenverrechnung Ablaufdatum
Zuordnung von Verantwortlichkeiten Überfrachtet
Risikoaggregation Methodik
Formen der Aggregation Verwendung von Simulationen IT-Unterstützung
Risikoreporting Methodik IT-Unterstützung Prozessübergreifend
Medienbrüche Identifikation Bewertung Bewältigung Aggregation Reporting
Anbindung an ERP-Systeme Workflow-Unterstützung
Freigabeprozesse Schwellwerte Kontrollmechanismen
Pflichtfelder Erinnerungsfunktion Plausibilitätsprüfung Datenimport/-export Bereitstellung von Dokumenten Sprache
Verbesserte Entscheidungsfindung Feedback der Beteiligten
Positiv
Nutzerfreundlichkeit
145 30
13 17 115
25 5 14 11 24 18 15 3 68
43 28 15 25 62
33 29 292
106 19 10 4 22 51 5 27
14 13 56
14 20 22 20 33 29 16 75
33 21 3.3.2.2
3.3.2.2.1 3.3.2.2.2 3.3.2.2.3 3.3.2.2.4 3.3.2.2.5 3.3.2.3
IT-Unterstützung Reine Menüführung Menüführung mit Ergänzungen Direkte Simulation der Risiken Mathematische Funktionen Komplexität
Währungen
70 7 24 4 20 15 26
3.4.1.2 3.4.1.3
Mehrwert Sonstiges
9 3
Tabelle E.1 (Fortsetzung)
3.6 3.6.1 3.6.2 3.6.3 3.6.4 3.6.5 3.6.6 3.7
3.7.1 3.7.2 3.8
3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.9
3.9.1 3.9.2 3.9.3 3.10
Administrativer Aufwand Rolle Risikomanager Aufwand in Zeit/Prozent
Aufgabenverlagerung Wenig Aufwand
Auslagerung an interne IT-Abteilung Medienbruch als Auslöser Komplexität als Auslöser Ergänzende Anforderungen/Funktionen
RM-Standardsoftwarenutzer Nutzer Eigenentwicklung Revisionssicherheit
Aspekt Eigenentwicklung Dokumentation Nachvollziehbarkeit Risikoarchivierung Berechtigungen Rolle Wirtschaftsprüfer Updates/Weiterentwicklungen
RM-Standardsoftwarenutzer Treiber aus Anbietersicht Nutzer Eigenentwicklung
Austausch mit RM-Standardsoftwareanbieter
68 17 5 27 5 10 4 31
16 15 60
9 8 12 9 11 11 62
25 17 20 27
4 4.1
4.1.1 4.1.2 4.2
4.2.1 4.2.2
4.2.2.1 4.2.2.1.1 4.2.2.1.2 4.2.2.1.3 4.2.2.1.4 4.2.2.2
4.2.2.2.1 4.2.2.2.2 4.2.2.2.3 4.3
4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 4.3.10 4.3.11
Zusammenfassende Aspekte und Ausblick Reifegrade der RMSe
Vor Einführung einer IT-Unterstützung Nach Einführung einer IT-Unterstützung Beurteilung der IT-Unterstützung
Allgemein
Gegenüber vorheriger Lösung Positiv
Organisatorisch
Aufgabenspektrum Risikomanager RM-prozessspezifisch Geschwindigkeit Negativ
Organisatorisch
Aufgabenspektrum Risikomanager RM-Prozessspezifisch Stärken RM-Standardsoftware
RM-prozessspezifisch Stellenwert Risikomanagement Zeitersparnis
Workflow-Unterstützung Support Anbieter Flexibilität
Rollen- und Berechtigungskonzept Usability
Datenkonsistenz/Revisionssicherheit Transparenz
Sonstiges
970 41
19 22 87
27 60 50
12 15 14 9 10
3 4 3 106
11 5 4 9 5 8 6 14 28 14 2 3.4.2
3.4.2.1 3.4.2.2 3.4.2.3 3.4.2.4 3.5
Negativ
Nutzerfreundlichkeit Geschwindigkeit Bedenken wegen Transparenz Sonstiges
Regelmäßig auftretende Probleme
42 20 11 7 4 23
(Fortsetzung)
Tabelle E.1 (Fortsetzung)
4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8 4.5
4.5.1 4.5.2 4.5.3 4.5.4 4.5.5 4.6
4.6.1 4.6.2 4.6.3 4.6.4 4.6.5 4.6.6 4.7
4.7.1 4.7.2 4.7.3 4.7.4 4.7.5 4.7.6 4.7.7 4.8
4.8.1 4.8.2
4.8.2.1 4.8.2.2 4.8.2.3 4.8.2.4 4.8.3
4.8.3.1 4.8.3.2 4.8.3.3 4.8.3.4 4.9
4.9.1 4.9.1.1 4.9.1.2
4.9.1.2.1 4.9.1.2.2 4.9.1.2.3
4.9.1.2.3.1 4.9.1.2.3.2 4.9.1.2.3.3
Kosten
Administrativer Aufwand Komplexität Know-how Anbieter Abhängigkeit von Software Customizing
RM-Prozessspezifisch Usability
Stärken Eigenentwicklung Automatisierungen
Revisionssicherheit/Nachvollziehbarkeit Flexibilität
Geringe Kosten Usability
Schwächen Eigenentwicklung Funktionale Grenzen RM-prozessspezifisch Skalierbarkeit
Rollen- und Berechtigungskonzept Revisionssicherheit/Nachvollziehbarkeit Abhängigkeit von Schlüsselpersonen Argumente gegen RM-Standardsoftware
Fehlende Integration in andere Workflows Abhängigkeit/Korsett
Überfrachtet Fokus auf Kultur Kosten
Zufriedenheit mit Eigenentwicklung Große Einstiegshürden Herausforderungen in der Zukunft
Für Anbieter An RM-Standardsoftware
Erhalt und Weiterentwicklung des Systems Releasewechsel
Bedenken bzgl. Anbieter Künstliche Intelligenz An Eigenentwicklung
Anbindung an andere Systeme
Nachhaltigkeit der zugrundeliegenden Lösung Abhängigkeit von Schlüsselpersonen Weiterentwicklungen
Weiterführende Aspekte Risikokultur
IT-Unterstützung ist nicht alles Moderation/Rolle Risikomanager
Schulung RM-Thematik Erklärung der Transparenz Motivation und Begleitung
Beteiligte abholen Aktive Begleitung im Prozess Aufruf zur Aktion
8 13 22 5 12 6 25 9 69
8 5 26 11 19 55
9 6 9 4 10 17 94
5 15 19 12 16 9 18 88
13 40 7 6 15 12 35
4 9 7 15 323
122 44 29 17 12 49
16 24 9
4.4 Schwächen RM-Standardsoftware 100
(Fortsetzung)
Tabelle E.1 (Fortsetzung)
4.9.2.3 4.9.2.4 4.9.2.5 4.9.2.6 4.9.3
4.9.3.1 4.9.3.2 4.9.3.3 4.9.3.4 4.9.4 4.10
Einbeziehung Referenzkunden
Exakte Definition der gewünschten Anforderungen Beachtung der Revisionssicherheit
Sonstiges
Verzahnung Risikomanagement mit anderen Teilbereichen Wichtigkeit der eigenen Teilbereiche
Prinzipiell positiv, dennoch schwierig Hype GRC
Überforderung Marktentwicklung/Trends Sonstiges
3 27 8 2 39
6 13 12 8 14 7 3.819 4.9.1.4
4.9.1.4.1 4.9.1.4.2 4.9.1.4.3 4.9.1.4.4 4.9.1.5 4.9.2
4.9.2.1 4.9.2.2
Stellenwert des Risikomanagements Fehlendes Verständnis für RM-Thematik Risikomanagement als notwendiges Übel Risikomanagement als Muss
Mangelnde Standardisierung im Risikomanagement Verständnis wichtiger als komplexe Bewertung Empfehlungen für andere Risikomanager
Aspekt Usability
Einbeziehung Risk Owner bei Auswahl
64 20 21 17 6 16 59
12 7
4.9.1.3 Entwicklungsstand des Risikomanagements 9
Coderreliabilitäten
Tabelle F.1 Berechnung der Coderreliabilitäten3 Intracoderreliabilität
Interviewkürzel C1 C2 Ü CR
RM_RMSW03 126 118 99 0,8115
RM_EE07 112 117 97 0,8472
AN_RMSW03 114 103 89 0,8203
SUMME 352 338 285 0,8261
Intercoderreliabilität
Interviewkürzel C1 C2 Ü CR
RM_RMSW09 113 97 81 0,7714
RM_EE01 116 107 93 0,8341
AN_RMSW01 101 88 74 0,7831
SUMME 330 292 248 0,7974
3Eigene Darstellung.
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
493
Wirtschaftszweige des Statistischen Bundesamts
In TabelleG.1sind die verwendeten Branchenkürzel aus Tabelle 8 aufgeführt.
Tabelle G.1 Klassifikation der Wirtschaftszweige4 Abschnitt Abteilung Bezeichnung
C 11 Getränkeherstellung
C 14 Herstellung von Bekleidung
C 20 Herstellung von chemischen Erzeugnissen
C 21 Herstellung von pharmazeutischen Erzeugnissen
C 24 Metallerzeugung und -bearbeitung
C 27 Herstellung von elektrischen Ausrüstungen
C 28 Maschinenbau
C 29 Herstellung von Kraftwagen und Kraftwagenteilen
C 30 Sonstiger Fahrzeugbau
C 32 Herstellung von sonstigen Waren
D 35 Energieversorgung
E 38 Sammlung, Behandlung und Beseitigung von Abfällen; Rückgewinnung
G 46 Großhandel
G 47 Einzelhandel
H 49 Landverkehr und Transport in Rohrfernleitungen
J 62 Erbringung von Dienstleistungen der Informationstechnologie M 74 Erbringung von freiberuflichen, wissenschaftlichen und technischen
Dienstleistungen
4In Anlehnung an Statistisches Bundesamt (2008, S. 71 ff.).
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
https://doi.org/10.1007/978-3-658-37081-7
495
Die Interviewpartner erhielten den nachfolgend abgebildeten Foliensatz zur kommunikativen Validierung im Juni 2021.
© Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2022 M. Schwarz,IT-Unterstützung im Risikomanagement,
497
• Die Ergebnisse der vorliegenden Präsentaon sind Bestandteil eines laufenden Promoonsverfahrens.
Ich bie Sie daher, die Unterlagen zunächst ver- traulich zu behandeln und nicht weiterzugeben oder weiteren Personen in irgendeiner Form zugänglich zu machen.
• Aufgrund des qualitaven Charakters der zugrunde- liegenden Studie können die nachfolgend darge- stellten Ergebnisse nicht als stassch repräsentav aufgefasst werden. Vielmehr zielen diese auf eine analysche Generalisierbarkeit ab.
1. Movaon und Zielsetzung
2. Forschungsfragen
3. Untersuchungsdesign und Samplezusammensetzung
4. Empirische Erkenntnisse 5. Fazit und weiterer Forschungsbedarf
1. Movaon und Zielsetzung
• Fragmenertes Forschungsfeld, da IT-Unterstützung im Risikomanagement meist als Teiluntersuchungsgegenstand
• Heterogenität der Begrifflichkeiten der verschiedenen Ausprägungen zur IT-Unterstützung im Risikomanagement
• Niedriger Durchdringungsgrad kommerzieller Standard- sowarelösungen gegenüber Eigenentwicklungen
2. Forschungsfragen
Zielsetzung
Ganzheitliche Untersuchung der IT-Unterstützung im Risikomanagement unter Berücksichgung der Auswahl, Implemenerung sowie Verwendung dieser.
Aus welchen Gründen wird sich für eine besmmte Form der IT-Unterstützung im Risikomanagement entschieden und wie verläu die Auswahl und Imple- menerung dieser?
FF1
Wie erfolgt die Verwendung einer IT-Unterstützung im Risikomanagement und welche Auswirkungen sowie Herausforderungen ergeben sich daraus?
FF2
Wie kann der niedrige Durchdringungsgrad von RM- Standardsowarelösungen gegenüber Eigenentwick- lungen erklärt werden?
FF3
Welche Handlungsempfehlungen können zur Auswahl, Implemenerung und Verwendung einer IT-Unterstüt- zung im Risikomanagement gegeben werden?
FF4
Methodisches Vorgehen
Empirisches Forschungsdesign
Primäranalyse
Qualitaves Seng
Leiadengestützte Experteninterviews
Feldstudie
Untersuchungssample Datenauswertung
31 Experteninterviews(04 - 10/2019) 13Risikomanager mit RM-Standard-
soware
13Risikomanager mit Eigenentwick- lung
4Anbieter von RM-Standardso- warelösungen
1Berater für RM-Standardsoware
Gesamtdauer der Interviews:
50:50:30 Stunden Durchschniliche Interviewdauer:
01:38:24 Stunden
Transkripon: 985 Seiten
Besmmung der Gütekriterien:
- Validität - Reliabilität - Objekvität
Bildung eines Kategoriensystems:
3.819 Codierungen
Qualitave Inhaltsanalyse
3. Untersuchungsdesign und Samplezusammensetzung - Vorbereitende Auswertung
• Zielsetzungen der RMSe:
- Schaffung von Transparenz - Einhaltung gesetzlicher/regulatorischer
Vorschrien
- Akve Maßnahmenverfolgung - Sicherstellung von Plan- und Ziel-
erreichung
• RM-organisatorische Aspekte:
- Abteilungsgrößen - Aufgabengebiete - Einbeung im Unternehmen - Reifegrade
RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13 Abteilungsgröße
1 Person
> 1 Person Aufgaben
Nur RM Ergänzende Organisatorische Einordnung
Controlling Interne Revision Rechnungswesen Sonsges Reifegrade Iniales RM Standardisiertes RM Umfassendes RM
DBMS mit Makros Sonsge Eigenentwicklungen Groupware mit Makros Themenfremde SW Reine Tab.kal.
Tab.kal. mit Makros Reine RMSW SW mit RM-Komponente RM-Modul im ERP-System
Unter der Leitung des interviewten Risikomanagers
RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13
Vorherig und aktuell genutzte IT-Unterstützung im Sample*
* Die Nutzungsdauer der jeweiligen Lösung wird in dieser Darstellung nicht berücksichgt.
4. Empirische Erkenntnisse - FF1: Auswahl und Einführung einer IT-Unterstützung Grenzen vorherig genutzter Lösungen
Arbeits- und Pflegeaufwand - Fehleranfälligkeit - Unübersichtlichkeit Funkonale Grenzen
- RM-prozessspezifisch - Technisch/IT-bezogen
Personenbedingte Grenzen - Wirtschasprüfer - Oberste Berichtsempfänger - Risikomanager
Trotz des gebündelten Auretens der benannten Gren- zen, kann der subjekven Grenze des Risikomanagers eine besondere Bedeutung zugesprochen werden.
Entscheidung über die Ausprägung der IT-Unterstützung
• Entscheidung für RM-Standardsoware: im Wesentlichen in den Grenzen vorherig genutzter IT-Unterstützungen begründet
• Entscheidung für Eigenentwicklung:
- Flexibilität
- Abbildung bestehender Workflows - Hands-On-Mentalität - Usability - Preis
• Übergreifende Entscheidungsparameter:
- Nutzung einer im Unternehmen exiserenden Lösung - Einfluss der internen IT-Abteilung
Auswahl einer RM-Standardsoware*
• Erstellung eines Lastenhes: meist überfrachtet durch Auf- nahme diverser Funkonalitäten, die später größtenteils keine Verwendung finden
• Auswahlkriterien:
- Flexibilität
- Abbildung bestehender Workflows - Usability
- RM-prozessspezifische Kriterien - Anbieterspezifische Kriterien
• Durch ähnlichen Funkonsumfang der Lösungen kann eine Substuierbarkeit abgeleitet werden, weshalb sich meist für die günsgere Lösung entschieden wird
• Geringe Einbeziehung der Risk Owner im Auswahlprozess
Einführung einer RM-Standardsoware
• Rege Verwendung von Customizing:
- Parametrisierung zur Anpassung an interne Begrifflichkeiten - Individualprogrammierungen zur Abbildung bestehender
Workflows (z. B. Reporng)
Zeitliche Verzögerung, Kommunikaonsprobleme bei Umsetzung sowie ggf. spätere Einschränkung der Lösung
• Rollout:
- Erstmalige Konfrontaon der Risk Owner mit der RM-Stan- dardsoware
- Schulung dieser sowie Erstellung von Unterlagen durch RM- Abteilung, da vom Anbieter meist zu technisch und nicht individuell abgesmmt
- Anteil der RM-Themak in der Schulung überwiegt ggü. dem IT-technischen Anteil überwiegend persönliche Schulun- gen
* Die Betrachtung des RM-Standardsowaremarkts ist Bestandteil von FF3.
+ Preis = finale Auswahl- kriterien gleiche Aus- richtung wie Entschei- dungsgründe für Eigen- entwicklung
4. Empirische Erkenntnisse - FF1: Auswahl und Einführung einer IT-Unterstützung Erstellung und Einführung einer Eigenentwicklung
• Fehlende externe Validierung (Anbietersicht)
• Geringe Einbeziehung der Risk Owner im Entwicklungsprozess
• Rollout:
- Erstmalige Konfrontaon der Risk Owner mit der Eigen- entwicklung
- Schulung dieser sowie Erstellung von Unterlagen durch RM- Abteilung
- Anteil der RM-Themak in der Schulung überwiegt ggü. dem IT- technischen Anteil überwiegend persönliche Schulun- gen
Wachsender Charakter
RM-Abteilung Interne IT-Abteilung Externer Anbieter Grad an Flexibilität
Umfang Lastenhee Abgeschlossener
Charakter
• RM-Abteilung: Hohe Flexibilität, aber abhängig von program- miertechnischem Know-how des Risikomanagers
• Interne IT-Abteilung: Wissen über unternehmensinterne Gegebenheiten und kurze Kommunikaonswege
• Externer Anbieter: Fehlendes Wissen über unternehmens-
interne Gegebenheiten und längere Kommunikaonswege Sowohl für RM-Standardsoware als auch Eigenent- wicklung ist die parallele Forührung des RMS auf Basis der vorherigen IT-Unterstützung notwendig.
Kein RM-spezifisches Know-how
Medienbrüche
RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 ,RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13 Idenfikaon
tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯
kompl. Medienbruch ↯ ↯ ↯ ↯ ↯
Bewertung
tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯
kompl. Medienbruch ↯ ↯ ↯ ↯ ↯
Bewälgung
tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯
kompl. Medienbruch ↯ ↯ ↯ ↯ ↯
Aggregaon
tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯
kompl. Medienbruch ↯ ↯ ↯ ↯
Reporng
tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯
kompl. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯
Legende: tw. = teilweiser; kompl. = kompleer
• Aufzeigen von Medienbrüchen über ganzen RM-Prozess hinweg möglich
• Teilweiser Medienbruch: Nutzung von einem/mehreren weiteren Medien ergänzend zur hauptsäch- lich verwendeten IT-Unterstützung
• Kompleer Medienbruch: Kom- pleer Umseg auf ein anderes Medium
* Zur Beantwortung von FF2 fanden Aussagen des Samples der Anbieter keine Berücksichgung.
4. Empirische Erkenntnisse - FF2: Verwendung einer IT-Unterstützung RM-Prozess
Idenfikaon Bewertung Bewälgung Aggregaon Reporng
Methodisch
Geringe Verwendung von Idenfikaons- werkzeugen Iden- fikaon beginnt „im Kopf“ der Risk Owner
Weniger komplexe Be- wertungsansätze zur barrierefreien Erfas- sung Sachverhalt wichger als Zahlen
Mangelnde Bruo- Neo-Betrachtung zugunsten der Barrie- refreitheit der Risk Owner
Überwiegende Ver- wendung qualitaver Aggregaon Skep- sis ggü. Monte-Carlo- Simulaon
Abbildung des beste- henden Berichtsfor- mats mit individueller Schwerpunktsetzung
RM-Standard- soware
Idenfikaon obliegt Iniave der Risk Owner lediglich Erfassungsmaske als Tool-getriebene Hilfe- stellung
Umfassendes Angebot an Bewertungsverfah- ren wird selten ge- nutzt lediglich Er- fassungsmaske als Tool-getriebene Hilfe- stellung
Lediglich Erfassungs- maske als Tool-getrie- bene Hilfestellung
Angebot komplexer Aggregaonsformen wird selten genutzt
Medienbrüche
Automasierte Stan- dardreports entspre- chen nicht den Anfor- derungen Medien- brüche
Eigenent- wicklung
Geringe Nutzung durch Risk Owner
Idenfikaon durch Interakon mit Risiko- manager
Geringe Nutzung durch Risk Owner
Bewertung durch Interakon mit Risiko- manager
Geringe Nutzung durch Risk Owner
Bewälgung durch Interakon mit Risiko- manager
Komplexität der Ag- gregaon korreliert mit Entwicklungsstadi- um der Eigenentwick- lung
Automasierte Be- richterstellung pro- grammiertechnisch nur bedingt umzu- setzen