|
|
|
|
Einleitung
PIRAT unterstützt die Ermittlung und Darstellung der Risikoaussetzung der betrieblichen Prozesse einer Organisation, und erarbeitet somit eine nachvollziehbare Basis für die Planung von Schutz- und Sicherheitsmassnahmen.
Das Vorgehen fusst auf einem V-Modell mit folgenden Schritten:
Der Audit legt die Parameter (Zeitpunkt, Aussetzungsperiode) einer Risikoanalyse fest. Durch dieses Konzept von Audit kann PIRAT auch für Analyse im Mandat Dritter eingesetzt werden.
Prozess
Der Umfang des Audits wird durch das einbeziehen ausgewählter Prozesse festgelegt. Diese Prozesse werden aus einem (oder mehreren) Prozessmodellen aus PROSA (Prozessorientierte Strukturierung der Abläufe) bezogen.
Prozessziel-Vorgabe
Für jeden einbezogener Prozess werden Vorgaben hinsichtlich Schutz und Sicherheit, anhand der vorausgesetzten "Policy" der Unternehmung, definiert. Diese Vorgaben werden einem frei konfigurierbarem Zielbereich, z.B. Integration, Markt, Leistung, Qualität, Verfügbarkeit, oder Wirtschaftlichkeit zugewiesen.
Gefahren
Ein Risiko (z.B. Unfall) entsteht durch eine Gefahr (z.B. Glatteis auf der Strasse) und einer Ursache (z.B. erhöhte Geschwindigkeit). In PIRAT werden die Gefahren in einem frei konfigurierbarem zweistufigen Katalog als Ausgangslage für die Risikoanalyse aufgenommen. Die erste Stufe definiert den Gefahrenbereich z.B. Bauten, Finanzen, Information, Leistung, Material, Organisation, Partner und Technik. Die zweite Stufe führt die einzelnen Gefahren pro Bereich auf. Dieser Katalog muss spezifisch auf den untersuchten Bereich angepasst bzw. erweitert werden, wobei standardisierte Checklisten und bisherige Erfahrungen eine gute Ausgangslage dafür bilden.
Risiko / Chancen
Die im Audit einbezogene Prozesse werden, unter Berücksichtigung der vorgegebenen Prozessziele, dem Gefahrenkatalog gegenübergestellt. Die relevanten Gefährdungen, welche die Einhaltung dieser Prozessziele verhindern könnten, werden als Risiko erkannt, mit ihrer möglichen Auswirkung auf den Prozess dokumentiert, und mit Eintretenswahrscheinlichkeit und Schadenausmass bewertet. Dabei wird auf folgenden Definitionen des Begriffes Risiko aufgebaut:
Die analysierte Einwirkung von externen Einflüssen (Gefahr und Ursache) auf einen Prozess kann sich auch gegenläufig entwickeln. In diesem Fall entsteht eine Chance, welche in PIRAT ebenfalls dokumentiert und bewertet werden kann.
Massnahmen
Wenn die Eintretenswahrscheinlichkeit oder den Schadenausmass eines Risikos zu hoch ausfallen, entsteht ein Problem: ihre Reduktion auf ein tragbares Mass. Das M7_Modul PRiMa (Problem and Risk Management) unterstützt die Lösung solcher Probleme. Aus diesem Grund hat PIRAT die Möglichkeit, zu jedem Risiko ein damit verknüpftes Problem in PRiMa zu eröffnen, um den gesamten Lösungsprozess dort abzuwickeln.
Ereignis
Das Eintreten eines Risikos kann in PIRAT als Ereignis mit Bezug auf die verursachende Gefahr und den zugewiesenen Zielbereich registriert werden. Damit wird die Schätzung der Eintretenswahrscheinlichkeit in zukünftigen Audits erleichtert.
Hyperlink
Elektronische Dokumente in beliebigem Dateiformat, die extern im Internet oder intern auf dem PC oder Netzwerk gespeichert sind, können zu den Entitäten Audit, Ereignis, Gefahr, Prozess, Prozessziel und Risiko über Hyperlink verknüpft werden. Somit lassen sich mühelos zusätzliche Informationen in PIRAT integrieren. Ein Doppelklick auf die Verknüpfung öffnet das entsprechende Dokument (selbstverständlich wird das Vorhandensein des dafür benötigten Programms vorausgesetzt).
Verknüpfung von Probleme und Risiken
Risiken können mit den wichtigsten Entitäten der übrigen M7-Module, sofern diese eingerichtet sind, in Bezug gebracht werden, um damit ihren Ursprung zu dokumentieren. So z.B. eine Organisationseinheit, ein bestimmter Datenfluss im Prozessmodell, ein Projekt usw.
Flexible Konfiguration
Alle verwendeten Codes (Zielbereich, Gefahrenbereich, Risikostatus, Portfolioachsen, -priorität und -konfiguration, Druckfarben, Dokumentklassifizierung und allgemeine Einstellungen) sind frei konfigurierbar. Diese Konfigurationsmöglichkeiten ermöglichen die flexible Anpassung von PIRAT an ein vorgegebenes Umfeld.
Parametrisierbare Auswertungen
Sämtliche Auswertungen (Exports und Berichte) werden über kontextabhängigen Selektionsparametern gesteuert. So können die auszuwertenden Daten fast beliebig ausgewählt werden. Über die allgemeinen Einstellungen können Kopfzeilen und Klassifizierungsvermerk der Auswertungen voreingestellt werden.
Export Portfolio
Die zwei Portfolien (Wahrscheinlichkeit / Ausmass für Risiken und Chancen) werden als einzelne Blätter einer Microsoft Excel-Mappe exportiert. Die Risiken / Chancen werden in der entsprechenden Zelle des Portfolios platziert. Die Hintergrundfarbe entspricht der Priorität, die Rahmenfarbe dem Gefahrenbereich und die Schriftfarbe dem Zielbereich. Je Portfolio wird eine Risiko- / Chancenliste in einem weiteren Blatt beigelegt, so dass die selbsterklärende Excel-Mappe für die Weitergabe an Dritte oder die Archivierung, ohne manuelle Formatierung / Ergänzung verwendet werden kann.
Berichte
Berichte wie Risikoliste, Gefahrenkatalog, Ereignisliste unterstützen die Auswertung der Daten. Jeder Bericht kann als Datei abgelegt werden, um ihn anschliessend an Dritte weiterleiten zu können.
Implementierung
PIRAT ist eine Accessanwendung und setzt Microsoft Access 2000 (oder höher) und Microsoft Windows 98, 2000 oder XP voraus. Für den Export wird Microsoft Excel 2000 (oder höher) benötigt.
Der interaktive Dialog ist auf dem CoRiMa-Standard TOOK (Touch Only One Key) aufgebaut. Jedes Formular wird mit gesperrten Datenfeldern angezeigt. Knöpfe, welche durch Klicken oder Drücken einer entsprechenden Buchstabentaste ausgelöst werden können, steuern den Ablauf. So beispielsweise M für Modify, I für Insert oder S für Search. Die Navigation über die Beziehungen zwischen den Entitäten wird ebenfalls durch Knöpfe, welche das entsprechende Formular öffnen, ausgelöst. Funktionen wie Suchen, Sortieren und Filtern unterstützten in jedem Formular effiziente Auswertung und die Bearbeitung der Daten.
Download von Informationen: Download |
|
Stand: 28.06.07 |