Anhang 1: Verwendete Suchbegriffe für die Literaturrecherche

(1)

für die Literaturrecherche

Tabelle A.1 Suchbegriffe der Literaturrecherche¹

IT-Unterstützung im Risikomanagement

deutsch englisch

– IT-Unterstützung Risikomanagement – Risikomanagementstandardsoftware – Risikomanagementsoftware

– Risikomanagementinformationssystem – RMIS

– IT-basiertes Risikomanagement – IT-unterstütztes Risikomanagement – IT-gestütztes Risikomanagement – Softwarebasiertes Risikomanagement – Software Risikomanagement – Computergestütztes

Risikomanagement

– DV-gestütztes Risikomanagement

– IT-support (Enterprise) Risk Management – (Enterprise) Risk Management Standard

Software

– (Enterprise) Risk Management Software – (Enterprise) Risk Management Information

System – (E)RMIS

– IT-based (Enterprise) Risk Management – IT-supported (Enterprise) Risk Management – Software-based (Enterprise) Risk

Management

– (Enterprise) Risk Management Tool (Fortsetzung)

1Eigene Darstellung.

471

(2)

Tabelle A.1 (Fortsetzung)

IT-Unterstützung in GRC-Systemen

deutsch englisch

– IT-Unterstützung in GRC-Systemen – IT-gestützte GRC-Systeme – GRC-Software

– GRC Standardsoftware – GRC-Informationssysteme – IT-basiertes GRC – IT-unterstütztes GRC – Softwarebasiertes GRC – Software GRC

– Computergestütztes GRC – DV-gestütztes GRC

– IT-support GRC – GRC Standard Software – GRC Software

– GRC Information System – IT-based GRC

– IT-supported GRC – Software-based GRC – GRC Tool

(3)

RM-Standardsoftwarenutzer

A. Informationen zum Interviewpartner und dem Risikomanagementsystem

A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über die Aufzeichnung des Interviews.

A.2 Informationen zum Unternehmen (Größe, Branche).

A.3 Welche Position nehmen Sie in Ihrem Unternehmen ein und was sind Ihre Aufgaben?

A.4 Wie lange sind Sie in der jetzigen Position beschäftigt?

A.5 Beschreiben Sie kurz Ihr Risikomanagementsystem. Welche Ziele verfolgt dieses und wie lange existiert es bereits?

A.6 Welche Art von RM-Standardsoftware nutzen Sie (reine

RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System)? Wie ist der Name des Anbieters? Wie viele Personen arbeiten mit dieser Software und seit wann ist diese im Einsatz?

473

(4)

B. Auswahl und Einführung der RM-Standardsoftware

B.1 Welche Form/en der IT-Unterstützung fand/en vor Einführung der RM-Standardsoftware ihren Einsatz (und wie lange)? Wo kam/en diese an ihre Grenzen bzw. was war der Grund für die Entscheidung eine RM-Standardsoftware einzuführen?

B.2 Anhand welcher drei Kriterien bzw. Anforderungen wurde sich im Rahmen der Auswahl der RM-Standardsoftware orientiert? Was war letztlich der entscheidende Grund bzw. die entscheidenden Gründe, warum Sie sich für Ihre jetzige Lösung entschieden haben?

B.3 Wie würden Sie, auf Basis Ihrer Erfahrungen während der Auswahl Ihrer Lösung, den Markt für RM-Standardsoftwarelösungen beschreiben?

B.4 Fand ein Customizing in der von Ihnen ausgewählten RM-Standardsoftware statt? Wenn ja,

a) in welchem Umfang fand das Customizing statt?

b) wer führte das Customizing durch?

c) konnten Wünsche bzw. Anregungen Ihrerseits nicht im Rahmen des Customizings umgesetzt werden? Wie wurde mit diesen Abstrichen umgegangen?

B.5 Wie erfolgte die Einspeisung der Risikodaten?

B.6 Wie wurden die Beteiligten der Risikomanagementorganisation mit der RM-Standardsoftware vertraut gemacht? In welchem Rahmen fanden Schulungen statt und wer führte diese durch?

B.7 Wie lange hat die Einführung vom Zeitpunkt der Auswahl bis hin zum erstmaligen Einsatz gedauert und wie würden Sie den Support vom Softwarehersteller während des Zeitraums beurteilen?

C. Verwendung der RM-Standardsoftware in der Praxis

C.1 Wie ist das Lizenzmodell Ihrer RM-Standardsoftware? Wie viele Personen können parallel damit arbeiten? Wie wird die Software genutzt (über Browser oder lokale Installation)?

C.2 Welche Unterstützung bietet die RM-Standardsoftware in Bezug auf die organisatorischen Elemente des Risikomanagements im Hinblick auf:

a) die Abbildung der Risikomanagementorganisation bzw.

Organisationsstruktur, der Abteilungen und Tochtergesellschaften? Wie aufwändig sind Änderungen?

b) die Vergabe von Rollen- und Berechtigungskonzepten sowie Zugriffsrechten?

c) die Bereitstellung von Vorschriften bzw. Risikomanagementleitlinien?

d) die Festlegung von Sprachen und Währungen?

(5)

C.3 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre RM-Standardsoftware

a) die Risikoidentifikation?

b) die Risikobewertung?

c) die Risikobewältigung?

d) die Risikoaggregation?

e) das Risikoreporting?

f) die Risikoüberwachung?

C.4 Veränderungen für die Beteiligten der Risikomanagementorganisation:

a) Wie würden Sie die zeitliche Einsparung bei Routinearbeiten beurteilen?

b) Wie erfolgt die Kommunikation zwischen den Beteiligten der Risikomanagementorganisation innerhalb der RM-Standardsoftware?

Kann eine verbesserte Kommunikation festgestellt werden?

c) Konnten Veränderungen im Hinblick auf die Risikowahrnehmung im Unternehmen festgestellt werden?

d) Wie ist das Feedback der Beteiligten der

Risikomanagementorganisation, welche die RM-Standardsoftware verwenden?

e) Gibt es häufig auftretende Probleme, welche sich aus der Verwendung der RM-Standardsoftware ergeben? Wenn ja, wie können diese kompensiert werden?

C.5 Nachfolgend sollen Veränderungen im Hinblick auf Ihr Aufgabenspektrum betrachtet werden:

a) Wie hoch schätzen Sie den administrativen Aufwand ein (Stunden/Woche)?

b) Welche zeitlichen Einsparungen bei Routinearbeiten ergeben sich?

c) Wie hat sich Ihr Aufgabenspektrum ggü. der vorangegangenen Lösung verändert?

C.6 Welche Anforderungen/Funktionen würden Sie sich ergänzend zu Ihrer jetzigen Lösung wünschen bzw. was vermissen Sie?

C.7 Kann durch die Verwendung der RM-Standardsoftware ein erhöhter Informationsstand an risikobezogenen Daten festgestellt werden, welcher zur Verbesserung der Entscheidungsfindung Ihrerseits bzw. des

Managements beiträgt?

C.8 Wie würden Sie die Revisionssicherheit durch die RM-Standardsoftware bewerten?

C.9 Wie und in welcher Form findet generell ein Austausch mit dem Softwareanbieter statt? Wird die Software vom Anbieter um Updates

(6)

D. Zusammenfassung und Ausblick

D.1 In welchen der nachfolgenden Reifegrade des Risikomanagements würden Sie Ihr Risikomanagement vor Verwendung der RM-Standardsoftware einordnen und wo sehen Sie es jetzt mit der Verwendung der

RM-Standardsoftware? Bitte erläutern Sie diese Einordnungen kurz. (nicht existentes Risikomanagement / informelles bzw. initiales

Risikomanagement / standardisiertes Risikomanagement / umfassendes Risikomanagement)

D.2 Wie beurteilen Sie Ihre RM-Standardsoftware insgesamt? Bitte erläutern Sie Ihre Beur teilung kurz.

sehr positiv positiv neutral negativ sehr negativ D.3 Wie beurteilen Sie Ihre RM-Standardsoftware gegenüber Ihrer

vorangegangenen Lösung? Bitte erläutern Sie Ihre Beurteilung kurz.

sehr positiv positiv neutral negativ sehr negativ D.4 Was sehen Sie als zentrale Stärken und Schwächen Ihrer

RM-Standardsoftware an?

D.5 Welche Herausforderung/en an Ihre RM-Standardsoftware sehen Sie in der Zukunft?

D.6 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden?

(7)

Nutzer von Eigenentwicklungen

A. Informationen zum Interviewpartner und dem Risikomanagementsystem

A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über die Aufzeichnung des Interviews.

A.5 Beschreiben Sie kurz Ihr Risikomanagementsystem. Welche Ziele verfolgt dieses und wie lange existiert es bereits?

B. Entstehung und Verwendung der Eigenentwicklung

B.1 Beschreiben Sie Ihre Form der Eigenentwicklung für das

Risikomanagement. Wie lange nutzen Sie diese bereits und wie viele Personen arbeiten damit?

B.2 Haben Sie zuvor eine andere Form/andere Formen der IT-Unterstützung im Risikomanagement genutzt? Wenn ja, wo kam/en diese an ihre Grenzen?

B.3 Was waren die wesentlichen Gründe für die Entscheidung für Ihre Eigenentwicklung?

B.4 Wer hat bei der Entwicklung Ihrer IT-Unterstützung mitgewirkt?

B.5 Wie wurden die Beteiligten der Risikomanagementorganisation mit der Eigenentwicklung vertraut gemacht?

477

(8)

B.6 Wie lange dauerte die Entstehung bis zur endgültigen Verwendung Ihrer Eigenentwicklung?

B.7 Welche Unterstützung bietet Ihre Eigenentwicklung in Bezug auf die organisatorischen Elemente des Risikomanagements im Hinblick auf:

Organisationsstruktur, der Abteilungen und Tochtergesellschaften?

B.8 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre Eigenentwicklung

B.9 Welche Anforderungen/Funktionen würden Sie sich innerhalb Ihrer Eigenentwicklung ergänzend wünschen bzw. was vermissen Sie?

B.10 Fragen bzgl. der Beteiligten der Risikomanagementorganisation:

a) Wie erfolgt die Kommunikation zwischen den einzelnen Beteiligten der Risikomanagementorganisation innerhalb Ihrer Eigenentwicklung?

b) Wie ist das Feedback der Beteiligten der

Risikomanagementorganisation, welche die Eigenentwicklung verwenden?

c) Gibt es häufig auftretende Probleme, welche sich aus der Verwendung der Eigenentwicklung ergeben? Wenn ja, wie können diese kompensiert werden?

B.11 Inwieweit sind Sie in ihrem Aufgabenspektrum mit der Pflege der Eigenentwicklung beschäftigt (Stunden/Woche)?

B.12 Finden Updates/Weiterentwicklungen innerhalb Ihrer Eigenentwicklung statt? Wenn ja, was sind dabei die wesentlichen Treiber und wie hilfreich sind die Weiterentwicklungen?

(9)

B.13 Wie würden Sie die Revisionssicherheit durch Ihre Eigenentwicklung bewerten?

C. Zusammenfassung und Ausblick

C.1 In welchen Reifegrad würden Sie Ihr Risikomanagement zum Zeitpunkt der Einführung der Eigenentwicklung einordnen und wo sehen Sie es jetzt? Bitte erläutern Sie diese Einordnungen kurz. (nicht existentes Risikomanagement / informelles bzw. initiales Risikomanagement / standardisiertes Risikomanagement / umfassendes Risikomanagement) C.2 Wie beurteilen Sie Ihre Eigenentwicklung insgesamt? Bitte erläutern Sie

Ihre Beurteilung kurz.

sehr positiv positiv neutral negativ sehr negativ C.3 Was sehen Sie als zentrale Stärken und Schwächen Ihrer

Eigenentwicklung an?

C.4 Welche Herausforderungen an Ihre Eigenentwicklung sehen sie in der Zukunft?

C.5 Was spricht gegen die Verwendung einer RM-Standardsoftware (reine RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System) innerhalb Ihrer Risikomanagementorganisation?

Was müsste sich an bestehenden etablierten

RM-Standardsoftwarelösungen ändern, damit diese für Sie attraktiv wären?

C.6 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden?

(10)

RM-Standardsoftwareanbieter

A. Informationen zum Gesprächspartner und der angebotenen RM-Standardsoftware A.1 Allgemeine Informationen zu Ort, Datum, Uhrzeit sowie Aufklärung über

die Aufzeichnung des Interviews.

A.5 Welche Art von RM-Standardsoftware bieten Sie an (reine

RM-Standardsoftware, GRC/IKS Standardsoftware, Standardmodullösung in einem ERP-System)? Wie heißt diese und wie lange existiert sie schon am Markt?

A.6 Fragen bzgl. Ihrer Kunden:

a) Wie viele Implementierungen Ihrer Softwarelösung wurden bisher durchgeführt?

b) Wie würden Sie die Kundenstruktur beschreiben (Branche, Größe, etc.)?

c) Wie viele Personen arbeiten in einem Unternehmen durchschnittlich mit Ihrer Software?

B. Einführung der RM-Standardsoftware

B.1 Welche IT-Unterstützung nutzten Ihre Kunden meist vor der Einführung Ihrer RM-Standardsoftware und wo kamen diese Lösungen an ihre Grenzen?

B.2 Können Sie Beispiele nennen, wie Unternehmen i. d. R. bei der Auswahl einer RM-Standardsoftware vorgehen? Welche Kriterien bzw.

Anforderungen sind Ihrer Meinung nach besonders wichtig?

https://doi.org/10.1007/978-3-658-37081-7

481

(11)

B.3 In welchem Reifegrad befinden sich meist die Risikomanagementsysteme Ihre Kunden beim Entschluss eine RM-Standardsoftware einzuführen (nicht existentes RM / informelles bzw. initiales RM / standardisiertes RM / umfassendes RM)? In welchem Reifegrad ist es Ihrer Meinung nach am sinnvollsten eine RM-Standardsoftware einzuführen und warum?

B.4 Wie erfolgt die Einspeisung der Risikodaten in Ihre RM-Standardsoftware?

B.5 Ist innerhalb Ihrer RM-Standardsoftware ein Customizing möglich? Wenn ja,

a) in welchem Umfang?

b) welche Wünsche bzw. Anregungen wurden von Ihren Kunden am häufigsten geäußert?

c) können Wünsche bzw. Anregungen Ihrer Kunden zum Teil nicht umgesetzt werden? Wie wird mit diesen Abstrichen verfahren?

B.6 Was sind häufig auftretende Schwierigkeiten bei der Einführung einer RM-Standardsoftware? Wie können diese umgangen werden?

B.7 Wie lange dauert durchschnittlich die Einführung Ihrer

RM-Standardsoftware vom Zeitpunkt der Auswahl bis hin zum erstmaligen Einsatz und welche Betreuungsleistung/en bieten Sie Ihren Kunden während der Einführung an?

C. Verwendung der RM-Standardsoftware in der Praxis

C.1 Wie werden die Beteiligten einer Risikomanagementorganisation typischerweise mit Ihrer RM-Standardsoftware vertraut gemacht und in welchem Umfang wirken Sie mit?

C.2 Welche Unterstützung bietet Ihre RM-Standardsoftware in Bezug auf die organisatorischen Elemente des Risikomanagements und über welche Veränderungen berichten Ihre Kunden im Vergleich zu/r vorangegangenen Lösung/en im Hinblick auf:

Organisationsstruktur, der Abteilungen und Tochtergesellschaften?

C.3 Nachfolgend sollen die einzelnen Prozessschritte des operativen Risikomanagementprozesses betrachtet werden: Unterstützt Ihre RM-Standardsoftware

(12)

C.4 Welches Feedback erhalten Sie von Ihren Kunden bzgl. der Akzeptanz Ihrer RM-Standardsoftware im Unternehmen? Wie konnten mögliche

Hemmnisse beseitigt werden?

C.5 Wie wirkt sich die Verwendung Ihrer RM-Standardsoftware Ihrer Meinung nach auf das Aufgabenspektrum des Risikomanagers aus?

C.6 In welchem Umfang betreuen Sie Ihre Kunden nach Einführung der RM-Standardsoftware? Inwelcher Form finden Updates statt? Was sind die wesentlichen Treiber bei der Weiterentwicklung?

C.7 Wie würden Sie die Revisionssicherheit durch Ihre RM-Standardsoftware bewerten? Welche Rückmeldung geben Ihre Kunden bzgl. Veränderungen gegenüber deren vorherigen Lösung/en?

D. Zusammenfassung und Ausblick

D.1 Welche positiven bzw. negativen Rückmeldungen erhalten Sie als Feedback von Ihren Kunden?

D.2 Wie Schätzen Sie den Markt von RM-Standardsoftwarelösungen gesamthaft ein?

D.3 Welche Argumente führen Sie im Hinblick auf Kunden an, welche eine Indivuallösung bzw. Eigenentwicklung zur IT-Unterstützung im Risikomanagement bevorzugen?

D.4 Was müssen RM-Standardsoftwareanbieter in Zukunft ändern, damit eine höhere Verbreitung entsteht?

D.5 Gibt es weitere Aspekte, die Ihrer Meinung nach im Verlauf des Interviews nicht ausreichend thematisiert worden sind oder die Sie noch ergänzend anbringen würden

(13)

Insgesamt entfielen auf das Sample der Risikomanager mit RM- Standardsoftwarelösung 1.812 Kodierungen, der Risikomanager mit Eigenentwicklung 1.439 Kodierungen, der RM-Standard-softwareanbieter 451 Kodierungen sowie den RM-Standardsoftwareberater 117 Kodierungen.

Tabelle E.1 Kategoriensystem²

1.2.2.1 1.2.2.2 1.2.3 1.2.4 1.2.5 1.3

1.3.1 1.3.1.1 1.3.1.2 1.3.1.3 1.3.1.4 1.3.2

1.3.2.1 1.3.2.2

Rein Risikomanagement Ergänzende Bereiche Aufgabenbereich Anbieter/Berater Dauer der Beschäftigung Beruflicher Hintergrund

Beschreibung des Risikomanagementsystems Ziele

Aktive Maßnahmenverfolgung Schaffung von Transparenz Einhaltung von Gesetzen

Sicherung der Planeinhaltung und Zielerreichung Personelle Ausgestaltung

Ein-Personen-Risikomanagement Mehr-Personen-Risikomanagement

15 13 7 32 14 250

64 13 24 15 12 27

15 12

Ebene Kategorienbezeichnung Kodierungen

1 1.1

1.1.1 1.1.2 1.1.3 1.2

1.2.1 1.2.2

Allgemeine Informationen Informationen zum Unternehmen

Unternehmenszahlen Rechtsform Branche

Informationen zum Interviewpartner Position

Aufgabenbereich Risikomanager

583 102

37 31 34 112

31 28

(Fortsetzung)

485

(14)

Tabelle E.1 (Fortsetzung)

1.3.3 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.3.5 1.3.4 1.3.5 1.3.6 1.3.7

1.3.7.1 1.3.7.2 1.3.7.3 1.3.7.4 1.3.7.5 1.4

1.4.1 1.4.1.1 1.4.1.2 1.4.1.3 1.4.1.4 1.4.2

Organisatorische Einbettung Controlling

Interne Revision Rechnungswesen Geschäftsführung Abweichend

Einsatz des Gegenstromverfahrens Berichtszyklen

Anzahl der Einzelrisiken Orientierte Standards

COSO ISO IDW Eigenkreaktion

Branchenspezifische Standards

Beschreibung der IT-Unterstützung im Risikomanagement Art RM-Standardsoftware und Zeitpunkt der Einführung

Reine RM-Standardsoftware

RM-Modulstandardlösung innerhalb ERP-System Standardsoftware mit RM-Komponente Lizenzmodelle

Art der Eigenentwicklung und Zeitpunkt der Einführung

34 13 6 3 4 8 27 28 29 41 7 8 4 18 4 100

52 21 4 10 17 48 1.4.2.1

1.4.2.2 1.4.2.3 1.4.2.4 1.5

1.5.1 1.5.2 1.5.3 1.5.4

Standardbürosoftware Tabellenkalkulation mit Makros Datenbankmanagementsystem mit Makros Themenfremde Standardsoftware Kundenstruktur der RM-Standardsoftwareanbieter

Branchen und Unternehmensgröße Risikomanagementgröße Anzahl der Implementierungen

Anzahl der Nutzer der RM-Standardsoftware

6 25 16 1 19

7 5 3 4

2 2.1

2.1.1 2.1.1.1 2.1.1.2 2.1.1.3 2.1.1.4 2.1.2

2.1.2.1 2.1.2.2 2.1.2.3 2.1.2.4 2.1.2.5 2.1.2.6 2.2

2.2.1 2.2.1.1 2.2.1.2 2.2.1.3

Auswahl u. Einführung der IT-Unterstützung Vorherige Lösung

Beschreibung der vorherigen Lösung Reine RM-Standardsoftware Standardsoftware mit RM-Komponente Standardbürosoftware

Standardbürosoftware mit Makros Auslöser für neue Lösung

Kosten

Weiterentwicklung des Risikomanagements Interne IT-Abteilung

Funktionale Grenzen Arbeits- und Pflegeaufwand Personenbedingte Grenzen

Auswahl und Einführung einer RM-Standardsoftware Vorgehen bei der Auswahl

Berücksichtigung im Unternehmen bestehender Lösung Berücksichtigung einer Eigenentwicklung

Berücksichtigung eines Lastenhefts

886 161

44 6 2 25 11 117

3 11 5 39 36 23 557

30 10 5 15

(Fortsetzung)

(15)

2.2.1.6 2.2.1.7

2.2.1.7.1 2.2.1.7.2 2.2.1.7.3 2.2.1.7.4 2.2.1.8

2.2.1.8.1 2.2.1.8.2 2.2.1.8.3 2.2.1.8.4 2.2.1.9 2.2.2

2.2.2.1 2.2.2.1.1 2.2.2.1.2

Ausschreibungsprozess Vorführung ausgewählter Anbieter

Präsentationen

Anzahl betrachteter Lösungen

Einbeziehung Risk Owner/andere Bereiche Austausch Referenzkunden/persönliche Kontakte Finale Entscheidungskriterien

Abbildung bestehender Workflows Usability

Preis Sonstige

Übergeordnete Anbietersicht bei der Auswahl Einführung

Customizing Parametrisierung Individualprogrammierung

13 52

16 8 16 12 28

9 5 8 6 24 229

81 12 17 2.2.1.4

2.2.1.4.1 2.2.1.4.2 2.2.1.4.3 2.2.1.4.4 2.2.1.4.5 2.2.1.4.6 2.2.1.4.7 2.2.1.4.8 2.2.1.4.9 2.2.1.4.10 2.2.1.5

2.2.1.5.1 2.2.1.5.2 2.2.1.5.3

Auswahlkriterien innerhalb eines Lastenhefts Abbildung bestehender Workflows Usability

Flexibilität

RM-prozessspezifische Kriterien Anbieterspezifische Kriterien Abbildung von Standards Rasche Einführung Aspekt der Standardsoftware Preis

Sonstiges

Markteinschätzung RM-Standardsoftware Transparent

Intransparent Anbietereinschätzung

91 16 9 13 14 12 7 3 6 6 5 90

7 28 55

2.2.2.1.3 2.2.2.1.4 2.2.2.1.5 2.2.2.1.6 2.2.2.2

2.2.2.2.1 2.2.2.2.2 2.2.2.3

2.2.2.3.1 2.2.2.3.2

2.2.2.3.2.1 2.2.2.3.2.2 2.2.2.3.2.3 2.2.2.3.2.4 2.2.2.3.2.5 2.2.2.3.2.6 2.2.2.4 2.2.2.5

Durchführung Nichtumsetzungen Kosten Anbietersicht Initiale Befüllung

Einspeisung risikorelevanter Daten

Einspeisung von RM-organisatorischen Elementen Vorgehen Einführung

Testphasen

Vertrautmachen der RM-Organisation Schulungen

Dokumentation

E-Learning/Schulungsvideos Schulung der allgemeinen RM-Thematik Unterstützung vom Anbieter Hürden

Probleme bei der Einführung Anbietersupport bei der Einführung

20 11 8 13 21

12 9 96

18 78 15 10 4 11 20 18 17 14

(Fortsetzung)

(16)

2.3.2 2.3.2.1 2.3.2.2 2.3.2.3 2.3.3

2.3.3.1 2.3.3.2 2.3.4

2.3.4.1 2.3.4.2 2.3.4.3 2.3.4.4 2.4

Erstellung der Eigenentwicklung RM-Abteilung/Risikomanager Interne IT-Abteilung Externer Anbieter Initiale Befüllung

Einspeisung risikorelevanter Daten

Einspeisung von RM-organisatorischen Elementen Vertrautmachen der RM-Organisation

Schulungen Dokumentation E-Learning/Schulungsvideos Schulung der allgemeinen RM-Thematik Rolle des Risikomanagers bei der Einführung

46 22 15 9 17

11 6 29

9 7 4 9 15

3 3.1

3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.2

3.2.1 3.2.1.1 3.2.1.2 3.2.2

3.2.2.1 3.2.2.2 3.3

3.3.1 3.3.1.1

3.3.1.1.1 3.3.1.1.2 3.3.1.2

Verwendung der IT-Unterstützung Zugriff auf IT-Unterstützung

Art des Zugriffs Laufwerk/E-Mail Webbasiert Personen mit Zugriff

Unterstützung organisatorischer Elemente Abbildung der RM-Organisation

Darstellung Änderungen

Rollen- und Berechtigungskonzept Darstellung

Änderungen

Unterstützung der RM-Prozesselemente Risikoidentifikation

Methodik

Persönliche Gespräche Ergänzende Methoden IT-Unterstützung

1.380 70

32 9 23 38 137

57 27 30 80

46 34 818

109 31

20 11 78 2.3

2.3.1 2.3.1.1 2.3.1.2 2.3.1.3 2.3.1.4 2.3.1.5 2.3.1.6 2.3.1.7

Auswahl und Einführung einer Eigenentwicklung Entscheidungsgründe für eine Eigenentwicklung

Flexibilität Hands-On Mentalität

Schlechte Erfahrungen mit RM-Standardsoftware Erzählungen anderer Risikomanager Keine passende Lösung am Markt Akzeptanz der Lösung in RM-Organisation Sonstiges

153 61

13 17 3 2 13 8 5

3.3.1.2.1 3.3.1.2.2 3.3.1.2.3 3.3.1.2.4 3.3.1.2.5 3.3.2

3.3.2.1 3.3.2.1.1 3.3.2.1.2 3.3.2.1.3 3.3.2.1.4

Checklisten

Klassische Risikoerfassung Risikokataloge/-kategorien Aufruf zur Risikomeldung Geringe/keine Unterstützung Risikobewertung

Methodik Quantitativ Qualitativ Semi-Quantitativ

Auswahl zwischen versch. Verfahren

5 19 23 10 21 151

55 18 6 19 12

(Fortsetzung)

(17)

3.3.3 3.3.3.1

3.3.3.1.1 3.3.3.1.2 3.3.3.2

3.3.3.2.1 3.3.3.2.2 3.3.3.2.3 3.3.3.2.4 3.3.3.2.5 3.3.3.2.6 3.3.3.2.7 3.3.3.2.8 3.3.4

3.3.4.1 3.3.4.1.1 3.3.4.1.2 3.3.4.2 3.3.5

3.3.5.1 3.3.5.2 3.3.6

3.3.6.1 3.3.6.1.1 3.3.6.1.2 3.3.6.1.3 3.3.6.1.4 3.3.6.1.5 3.3.6.2 3.3.6.3

3.3.6.3.1 3.3.6.3.2 3.3.6.4

3.3.6.4.1 3.3.6.4.2 3.3.6.4.3 3.3.6.5 3.3.6.6 3.3.6.7 3.3.6.8 3.4

3.4.1 3.4.1.1

Risikobewältigung Methodik

Brutto-Netto-Betrachtung Keine Brutto-Netto-Betrachtung IT-Unterstützung

Maßnahmenbeschreibung Maßnahmenkosten

Abbildung von Maßnahmenzyklus Mehrfachzuordnung von Maßnahmen Maßnahmenverrechnung Ablaufdatum

Zuordnung von Verantwortlichkeiten Überfrachtet

Risikoaggregation Methodik

Formen der Aggregation Verwendung von Simulationen IT-Unterstützung

Risikoreporting Methodik IT-Unterstützung Prozessübergreifend

Medienbrüche Identifikation Bewertung Bewältigung Aggregation Reporting

Anbindung an ERP-Systeme Workflow-Unterstützung

Freigabeprozesse Schwellwerte Kontrollmechanismen

Pflichtfelder Erinnerungsfunktion Plausibilitätsprüfung Datenimport/-export Bereitstellung von Dokumenten Sprache

Verbesserte Entscheidungsfindung Feedback der Beteiligten

Positiv

Nutzerfreundlichkeit

145 30

13 17 115

25 5 14 11 24 18 15 3 68

43 28 15 25 62

33 29 292

106 19 10 4 22 51 5 27

14 13 56

14 20 22 20 33 29 16 75

33 21 3.3.2.2

3.3.2.2.1 3.3.2.2.2 3.3.2.2.3 3.3.2.2.4 3.3.2.2.5 3.3.2.3

IT-Unterstützung Reine Menüführung Menüführung mit Ergänzungen Direkte Simulation der Risiken Mathematische Funktionen Komplexität

Währungen

70 7 24 4 20 15 26

3.4.1.2 3.4.1.3

Mehrwert Sonstiges

9 3

(18)

3.6 3.6.1 3.6.2 3.6.3 3.6.4 3.6.5 3.6.6 3.7

3.7.1 3.7.2 3.8

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.9

3.9.1 3.9.2 3.9.3 3.10

Administrativer Aufwand Rolle Risikomanager Aufwand in Zeit/Prozent

Aufgabenverlagerung Wenig Aufwand

Auslagerung an interne IT-Abteilung Medienbruch als Auslöser Komplexität als Auslöser Ergänzende Anforderungen/Funktionen

RM-Standardsoftwarenutzer Nutzer Eigenentwicklung Revisionssicherheit

Aspekt Eigenentwicklung Dokumentation Nachvollziehbarkeit Risikoarchivierung Berechtigungen Rolle Wirtschaftsprüfer Updates/Weiterentwicklungen

RM-Standardsoftwarenutzer Treiber aus Anbietersicht Nutzer Eigenentwicklung

Austausch mit RM-Standardsoftwareanbieter

68 17 5 27 5 10 4 31

16 15 60

9 8 12 9 11 11 62

25 17 20 27

4 4.1

4.1.1 4.1.2 4.2

4.2.1 4.2.2

4.2.2.1 4.2.2.1.1 4.2.2.1.2 4.2.2.1.3 4.2.2.1.4 4.2.2.2

4.2.2.2.1 4.2.2.2.2 4.2.2.2.3 4.3

4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 4.3.10 4.3.11

Zusammenfassende Aspekte und Ausblick Reifegrade der RMSe

Vor Einführung einer IT-Unterstützung Nach Einführung einer IT-Unterstützung Beurteilung der IT-Unterstützung

Allgemein

Gegenüber vorheriger Lösung Positiv

Organisatorisch

Aufgabenspektrum Risikomanager RM-prozessspezifisch Geschwindigkeit Negativ

Organisatorisch

Aufgabenspektrum Risikomanager RM-Prozessspezifisch Stärken RM-Standardsoftware

RM-prozessspezifisch Stellenwert Risikomanagement Zeitersparnis

Workflow-Unterstützung Support Anbieter Flexibilität

Rollen- und Berechtigungskonzept Usability

Datenkonsistenz/Revisionssicherheit Transparenz

Sonstiges

970 41

19 22 87

27 60 50

12 15 14 9 10

3 4 3 106

11 5 4 9 5 8 6 14 28 14 2 3.4.2

3.4.2.1 3.4.2.2 3.4.2.3 3.4.2.4 3.5

Negativ

Nutzerfreundlichkeit Geschwindigkeit Bedenken wegen Transparenz Sonstiges

Regelmäßig auftretende Probleme

42 20 11 7 4 23

(Fortsetzung)

(19)

4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8 4.5

4.5.1 4.5.2 4.5.3 4.5.4 4.5.5 4.6

4.6.1 4.6.2 4.6.3 4.6.4 4.6.5 4.6.6 4.7

4.7.1 4.7.2 4.7.3 4.7.4 4.7.5 4.7.6 4.7.7 4.8

4.8.1 4.8.2

4.8.2.1 4.8.2.2 4.8.2.3 4.8.2.4 4.8.3

4.8.3.1 4.8.3.2 4.8.3.3 4.8.3.4 4.9

4.9.1 4.9.1.1 4.9.1.2

4.9.1.2.1 4.9.1.2.2 4.9.1.2.3

4.9.1.2.3.1 4.9.1.2.3.2 4.9.1.2.3.3

Kosten

Administrativer Aufwand Komplexität Know-how Anbieter Abhängigkeit von Software Customizing

RM-Prozessspezifisch Usability

Stärken Eigenentwicklung Automatisierungen

Revisionssicherheit/Nachvollziehbarkeit Flexibilität

Geringe Kosten Usability

Schwächen Eigenentwicklung Funktionale Grenzen RM-prozessspezifisch Skalierbarkeit

Rollen- und Berechtigungskonzept Revisionssicherheit/Nachvollziehbarkeit Abhängigkeit von Schlüsselpersonen Argumente gegen RM-Standardsoftware

Fehlende Integration in andere Workflows Abhängigkeit/Korsett

Überfrachtet Fokus auf Kultur Kosten

Zufriedenheit mit Eigenentwicklung Große Einstiegshürden Herausforderungen in der Zukunft

Für Anbieter An RM-Standardsoftware

Erhalt und Weiterentwicklung des Systems Releasewechsel

Bedenken bzgl. Anbieter Künstliche Intelligenz An Eigenentwicklung

Anbindung an andere Systeme

Nachhaltigkeit der zugrundeliegenden Lösung Abhängigkeit von Schlüsselpersonen Weiterentwicklungen

Weiterführende Aspekte Risikokultur

IT-Unterstützung ist nicht alles Moderation/Rolle Risikomanager

Schulung RM-Thematik Erklärung der Transparenz Motivation und Begleitung

Beteiligte abholen Aktive Begleitung im Prozess Aufruf zur Aktion

8 13 22 5 12 6 25 9 69

8 5 26 11 19 55

9 6 9 4 10 17 94

5 15 19 12 16 9 18 88

13 40 7 6 15 12 35

4 9 7 15 323

122 44 29 17 12 49

16 24 9

4.4 Schwächen RM-Standardsoftware 100

(Fortsetzung)

(20)

4.9.2.3 4.9.2.4 4.9.2.5 4.9.2.6 4.9.3

4.9.3.1 4.9.3.2 4.9.3.3 4.9.3.4 4.9.4 4.10

Einbeziehung Referenzkunden

Exakte Definition der gewünschten Anforderungen Beachtung der Revisionssicherheit

Sonstiges

Verzahnung Risikomanagement mit anderen Teilbereichen Wichtigkeit der eigenen Teilbereiche

Prinzipiell positiv, dennoch schwierig Hype GRC

Überforderung Marktentwicklung/Trends Sonstiges

3 27 8 2 39

6 13 12 8 14 7 3.819 4.9.1.4

4.9.1.4.1 4.9.1.4.2 4.9.1.4.3 4.9.1.4.4 4.9.1.5 4.9.2

4.9.2.1 4.9.2.2

Stellenwert des Risikomanagements Fehlendes Verständnis für RM-Thematik Risikomanagement als notwendiges Übel Risikomanagement als Muss

Mangelnde Standardisierung im Risikomanagement Verständnis wichtiger als komplexe Bewertung Empfehlungen für andere Risikomanager

Aspekt Usability

Einbeziehung Risk Owner bei Auswahl

64 20 21 17 6 16 59

12 7

4.9.1.3 Entwicklungsstand des Risikomanagements 9

(21)

Coderreliabilitäten

Tabelle F.1 Berechnung der Coderreliabilitäten³ Intracoderreliabilität

Interviewkürzel C1 C2 Ü CR

RM_RMSW03 126 118 99 0,8115

RM_EE07 112 117 97 0,8472

AN_RMSW03 114 103 89 0,8203

SUMME 352 338 285 0,8261

Intercoderreliabilität

Interviewkürzel C1 C2 Ü CR

RM_RMSW09 113 97 81 0,7714

RM_EE01 116 107 93 0,8341

AN_RMSW01 101 88 74 0,7831

SUMME 330 292 248 0,7974

493

(22)

Wirtschaftszweige des Statistischen Bundesamts

In TabelleG.1sind die verwendeten Branchenkürzel aus Tabelle 8 aufgeführt.

Tabelle G.1 Klassifikation der Wirtschaftszweige⁴ Abschnitt Abteilung Bezeichnung

C 11 Getränkeherstellung

C 14 Herstellung von Bekleidung

C 20 Herstellung von chemischen Erzeugnissen

C 21 Herstellung von pharmazeutischen Erzeugnissen

C 24 Metallerzeugung und -bearbeitung

C 27 Herstellung von elektrischen Ausrüstungen

C 28 Maschinenbau

C 29 Herstellung von Kraftwagen und Kraftwagenteilen

C 30 Sonstiger Fahrzeugbau

C 32 Herstellung von sonstigen Waren

D 35 Energieversorgung

E 38 Sammlung, Behandlung und Beseitigung von Abfällen; Rückgewinnung

G 46 Großhandel

G 47 Einzelhandel

H 49 Landverkehr und Transport in Rohrfernleitungen

J 62 Erbringung von Dienstleistungen der Informationstechnologie M 74 Erbringung von freiberuflichen, wissenschaftlichen und technischen

Dienstleistungen

4In Anlehnung an Statistisches Bundesamt (2008, S. 71 ff.).

https://doi.org/10.1007/978-3-658-37081-7

495

(23)

Die Interviewpartner erhielten den nachfolgend abgebildeten Foliensatz zur kommunikativen Validierung im Juni 2021.

497

(24)

• Die Ergebnisse der vorliegenden Präsentaon sind Bestandteil eines laufenden Promoonsverfahrens.

Ich bie Sie daher, die Unterlagen zunächst ver- traulich zu behandeln und nicht weiterzugeben oder weiteren Personen in irgendeiner Form zugänglich zu machen.

• Aufgrund des qualitaven Charakters der zugrundeliegenden Studie können die nachfolgend darge- stellten Ergebnisse nicht als stassch repräsentav aufgefasst werden. Vielmehr zielen diese auf eine analysche Generalisierbarkeit ab.

1. Movaon und Zielsetzung

2. Forschungsfragen

3. Untersuchungsdesign und Samplezusammensetzung

4. Empirische Erkenntnisse 5. Fazit und weiterer Forschungsbedarf

1. Movaon und Zielsetzung

• Fragmenertes Forschungsfeld, da IT-Unterstützung im Risikomanagement meist als Teiluntersuchungsgegenstand

• Heterogenität der Begriﬄichkeiten der verschiedenen Ausprägungen zur IT-Unterstützung im Risikomanagement

• Niedriger Durchdringungsgrad kommerzieller Standard- sowarelösungen gegenüber Eigenentwicklungen

2. Forschungsfragen

Zielsetzung

Ganzheitliche Untersuchung der IT-Unterstützung im Risikomanagement unter Berücksichgung der Auswahl, Implemenerung sowie Verwendung dieser.

Aus welchen Gründen wird sich für eine besmmte Form der IT-Unterstützung im Risikomanagement entschieden und wie verläu die Auswahl und Imple- menerung dieser?

FF1

Wie erfolgt die Verwendung einer IT-Unterstützung im Risikomanagement und welche Auswirkungen sowie Herausforderungen ergeben sich daraus?

FF2

Wie kann der niedrige Durchdringungsgrad von RM- Standardsowarelösungen gegenüber Eigenentwick- lungen erklärt werden?

FF3

Welche Handlungsempfehlungen können zur Auswahl, Implemenerung und Verwendung einer IT-Unterstüt- zung im Risikomanagement gegeben werden?

FF4

(25)

Methodisches Vorgehen

Empirisches Forschungsdesign

Primäranalyse

Qualitaves Seng

Leiadengestützte Experteninterviews

Feldstudie

Untersuchungssample Datenauswertung

31 Experteninterviews(04 - 10/2019) 13Risikomanager mit RM-Standard-

soware

13Risikomanager mit Eigenentwick- lung

4Anbieter von RM-Standardso- warelösungen

1Berater für RM-Standardsoware

Gesamtdauer der Interviews:

50:50:30 Stunden Durchschniliche Interviewdauer:

01:38:24 Stunden

Transkripon: 985 Seiten

Besmmung der Gütekriterien:

- Validität - Reliabilität - Objekvität

Bildung eines Kategoriensystems:

3.819 Codierungen

Qualitave Inhaltsanalyse

3. Untersuchungsdesign und Samplezusammensetzung - Vorbereitende Auswertung

• Zielsetzungen der RMSe:

- Schaﬀung von Transparenz - Einhaltung gesetzlicher/regulatorischer

Vorschrien

- Akve Maßnahmenverfolgung - Sicherstellung von Plan- und Ziel-

erreichung

• RM-organisatorische Aspekte:

- Abteilungsgrößen - Aufgabengebiete - Einbeung im Unternehmen - Reifegrade

RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13 Abteilungsgröße

1 Person

> 1 Person Aufgaben

Nur RM Ergänzende Organisatorische Einordnung

Controlling Interne Revision Rechnungswesen Sonsges Reifegrade Iniales RM Standardisiertes RM Umfassendes RM

(26)

DBMS mit Makros Sonsge Eigenentwicklungen Groupware mit Makros Themenfremde SW Reine Tab.kal.

Tab.kal. mit Makros Reine RMSW SW mit RM-Komponente RM-Modul im ERP-System

Unter der Leitung des interviewten Risikomanagers

RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13

Vorherig und aktuell genutzte IT-Unterstützung im Sample*

* Die Nutzungsdauer der jeweiligen Lösung wird in dieser Darstellung nicht berücksichgt.

4. Empirische Erkenntnisse - FF1: Auswahl und Einführung einer IT-Unterstützung Grenzen vorherig genutzter Lösungen

Arbeits- und Pﬂegeaufwand - Fehleranfälligkeit - Unübersichtlichkeit Funkonale Grenzen

- RM-prozessspeziﬁsch - Technisch/IT-bezogen

Personenbedingte Grenzen - Wirtschasprüfer - Oberste Berichtsempfänger - Risikomanager

Trotz des gebündelten Auretens der benannten Gren- zen, kann der subjekven Grenze des Risikomanagers eine besondere Bedeutung zugesprochen werden.

Entscheidung über die Ausprägung der IT-Unterstützung

• Entscheidung für RM-Standardsoware: im Wesentlichen in den Grenzen vorherig genutzter IT-Unterstützungen begründet

• Entscheidung für Eigenentwicklung:

- Flexibilität

- Abbildung bestehender Workﬂows - Hands-On-Mentalität - Usability - Preis

• Übergreifende Entscheidungsparameter:

- Nutzung einer im Unternehmen exiserenden Lösung - Einﬂuss der internen IT-Abteilung

(27)

Auswahl einer RM-Standardsoware*

• Erstellung eines Lastenhes: meist überfrachtet durch Auf- nahme diverser Funkonalitäten, die später größtenteils keine Verwendung ﬁnden

• Auswahlkriterien:

- Flexibilität

- Abbildung bestehender Workﬂows - Usability

- RM-prozessspeziﬁsche Kriterien - Anbieterspeziﬁsche Kriterien

• Durch ähnlichen Funkonsumfang der Lösungen kann eine Substuierbarkeit abgeleitet werden, weshalb sich meist für die günsgere Lösung entschieden wird

• Geringe Einbeziehung der Risk Owner im Auswahlprozess

Einführung einer RM-Standardsoware

• Rege Verwendung von Customizing:

- Parametrisierung zur Anpassung an interne Begriﬄichkeiten - Individualprogrammierungen zur Abbildung bestehender

Workﬂows (z. B. Reporng)

Zeitliche Verzögerung, Kommunikaonsprobleme bei Umsetzung sowie ggf. spätere Einschränkung der Lösung

• Rollout:

- Erstmalige Konfrontaon der Risk Owner mit der RM-Stan- dardsoware

- Schulung dieser sowie Erstellung von Unterlagen durch RM- Abteilung, da vom Anbieter meist zu technisch und nicht individuell abgesmmt

- Anteil der RM-Themak in der Schulung überwiegt ggü. dem IT-technischen Anteil überwiegend persönliche Schulun- gen

* Die Betrachtung des RM-Standardsowaremarkts ist Bestandteil von FF3.

+ Preis = ﬁnale Auswahl- kriterien gleiche Aus- richtung wie Entschei- dungsgründe für Eigen- entwicklung

4. Empirische Erkenntnisse - FF1: Auswahl und Einführung einer IT-Unterstützung Erstellung und Einführung einer Eigenentwicklung

• Fehlende externe Validierung (Anbietersicht)

• Geringe Einbeziehung der Risk Owner im Entwicklungsprozess

• Rollout:

- Erstmalige Konfrontaon der Risk Owner mit der Eigen- entwicklung

- Schulung dieser sowie Erstellung von Unterlagen durch RM- Abteilung

- Anteil der RM-Themak in der Schulung überwiegt ggü. dem IT- technischen Anteil überwiegend persönliche Schulun- gen

Wachsender Charakter

RM-Abteilung Interne IT-Abteilung Externer Anbieter Grad an Flexibilität

Umfang Lastenhee Abgeschlossener

Charakter

• RM-Abteilung: Hohe Flexibilität, aber abhängig von program- miertechnischem Know-how des Risikomanagers

• Interne IT-Abteilung: Wissen über unternehmensinterne Gegebenheiten und kurze Kommunikaonswege

• Externer Anbieter: Fehlendes Wissen über unternehmens-

interne Gegebenheiten und längere Kommunikaonswege Sowohl für RM-Standardsoware als auch Eigenent- wicklung ist die parallele Forührung des RMS auf Basis der vorherigen IT-Unterstützung notwendig.

Kein RM-speziﬁsches Know-how

(28)

Medienbrüche

RM_RMSW01 RM_RMSW02 RM_RMSW03 RM_RMSW04 RM_RMSW05 RM_RMSW06 RM_RMSW07 RM_RMSW08 RM_RMSW09 RM_RMSW10 RM_RMSW11 RM_RMSW12 RM_RMSW13 RM_EE01 RM_EE02 RM_EE03 ,RM_EE04 RM_EE05 RM_EE06 RM_EE07 RM_EE08 RM_EE09 RM_EE10 RM_EE11 RM_EE12 RM_EE13 Idenﬁkaon

tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯

kompl. Medienbruch ↯ ↯ ↯ ↯ ↯

Bewertung

tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯

Bewälgung

tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯

Aggregaon

tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯

kompl. Medienbruch ↯ ↯ ↯ ↯

Reporng

tw. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯

kompl. Medienbruch ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯ ↯

Legende: tw. = teilweiser; kompl. = kompleer

• Aufzeigen von Medienbrüchen über ganzen RM-Prozess hinweg möglich

• Teilweiser Medienbruch: Nutzung von einem/mehreren weiteren Medien ergänzend zur hauptsäch- lich verwendeten IT-Unterstützung

• Kompleer Medienbruch: Kom- pleer Umseg auf ein anderes Medium

* Zur Beantwortung von FF2 fanden Aussagen des Samples der Anbieter keine Berücksichgung.

4. Empirische Erkenntnisse - FF2: Verwendung einer IT-Unterstützung RM-Prozess

Idenﬁkaon Bewertung Bewälgung Aggregaon Reporng

Methodisch

Geringe Verwendung von Idenﬁkaons- werkzeugen Iden- ﬁkaon beginnt „im Kopf“ der Risk Owner

Weniger komplexe Be- wertungsansätze zur barrierefreien Erfas- sung Sachverhalt wichger als Zahlen

Mangelnde Bruo- Neo-Betrachtung zugunsten der Barrie- refreitheit der Risk Owner

Überwiegende Ver- wendung qualitaver Aggregaon Skep- sis ggü. Monte-Carlo- Simulaon

Abbildung des bestehenden Berichtsfor- mats mit individueller Schwerpunktsetzung

RM-Standard- soware

Idenﬁkaon obliegt Iniave der Risk Owner lediglich Erfassungsmaske als Tool-getriebene Hilfe- stellung

Umfassendes Angebot an Bewertungsverfah- ren wird selten genutzt lediglich Er- fassungsmaske als Tool-getriebene Hilfe- stellung

Lediglich Erfassungs- maske als Tool-getriebene Hilfestellung

Angebot komplexer Aggregaonsformen wird selten genutzt

Medienbrüche

Automasierte Stan- dardreports entspre- chen nicht den Anfor- derungen Medien- brüche

Eigenent- wicklung

Geringe Nutzung durch Risk Owner

Idenﬁkaon durch Interakon mit Risiko- manager

Bewertung durch Interakon mit Risiko- manager

Bewälgung durch Interakon mit Risiko- manager

Komplexität der Ag- gregaon korreliert mit Entwicklungsstadi- um der Eigenentwick- lung

Automasierte Be- richterstellung pro- grammiertechnisch nur bedingt umzu- setzen