1 Zweck des Moduls "Risiken & Chancen"
Das Modul Risiken & Chancen bildet den vollständigen normativen Prozess zur Identifikation, Bewertung, Behandlung und Wirksamkeitskontrolle von Risiken und Chancen in AUDITTRAILS ab. Es ist das zentrale Instrument des Risikomanagements und adressiert gleichzeitig die Anforderungen von ISO/IEC 17025 Kap. 8.5, ISO 15189 und ISO 27001 Annex A.
Risiken und Chancen werden in einer gemeinsamen Liste verwaltet und sind durch ihren Typ unterschieden. Das Modul ermöglicht die vollständige Rückverfolgbarkeit vom identifizierten Risiko über die strukturierte Bewertung und Maßnahmenplanung bis zur dokumentierten Wirksamkeitskontrolle.
2 Übersicht der Risiken & Chancen
Zur Listenansicht gelangen Sie über Prozesse → Risiken & Chancen.
Die Liste zeigt alle Einträge mit den Spalten: Typ, Beschreibung, Offene Maßnahmen, Geschlossene Maßnahmen, Letzte Bewertung (Trendpfeil + Einstufung), Kategorie, Verantwortliche Rolle.
3 Anlegen und Bearbeiten eines Risikos oder einer Chance
Über das Plus-Symbol legen Sie neue Einträge an. Durch Klick auf eine Zeile öffnen Sie den Datensatz. Nach dem Speichern bleibt der Datensatz im Bearbeitungsmodus – er wechselt erst beim Verlassen und erneutem Aufrufen in den Read-only-Modus.
Hinweis: Pflichtfelder sind rot markiert. Solange Pflichtfelder nicht ausgefüllt sind, ist das Speichern nicht möglich.
3.1 Reiter "Basisdaten"
- Typ – Risiko oder Chance
- Identifiziertes Risiko / Identifizierte Chance – Titel
- Beschreibung – ausführliche Beschreibung des Risikos oder der Chance
- Ursache – dokumentierte Ursache
- Empfohlene Maßnahmen – erste Einschätzung möglicher Gegenmaßnahmen
- Kategorie – thematische Einordnung nach Ishikawa-Kategorien (Mensch, Maschine, Methode, Mitwelt, Management, Messung)
- Verantwortliche Rolle – die Rolle die für dieses Risiko verantwortlich ist
- Schutzziele (CIA-Triade) – Checkboxen zur Kennzeichnung betroffener Schutzziele: Vertraulichkeit, Verfügbarkeit, Integrität (relevant für Informationssicherheitsrisiken nach ISO 27001)
3.2 Reiter "Bearbeitung" – Der Risikomanagementprozess
Der Bearbeitungs-Reiter bildet den vollständigen Prozessablauf als Timeline ab. Er folgt dem dreistufigen Grundprinzip aus dem Modul Beschwerden, Nichtkonforme Arbeit und Nichtkonformitäten – Bewertung, Maßnahme, Wirksamkeitskontrolle – und ergänzt dieses um eine strukturierte Risikobewertungsmatrix.
Schritt 1 – Bewertung:
Die Risikobewertung erfolgt nach DIN EN IEC 31010 B10.3 auf Basis einer Folgen-/Wahrscheinlichkeitsmatrix mit folgenden Dimensionen:
Auswirkungsdimensionen (je mit Bewertungs-Dropdown und Begründungsfeld):
- Auswirkungen auf die Organisation – niedrig / mittel / hoch
- Auswirkungen auf den Kunden – niedrig / mittel / hoch
- Auswirkungen auf das Managementsystem – niedrig / mittel / hoch
Die höchste der drei Auswirkungsdimensionen bestimmt die Gesamtauswirkung.
Wahrscheinlichkeitsdimensionen (je mit Bewertungs-Dropdown und Begründungsfeld):
- Eintrittswahrscheinlichkeit – niedrig / mittel / hoch
- Aufdeckungswahrscheinlichkeit – niedrig / mittel / hoch
Gesamtrisiko-Bestimmung nach Risikomatrix:
Die Gesamtauswirkung wird mit Eintrittswahrscheinlichkeit und Aufdeckungswahrscheinlichkeit in der folgenden Matrix bewertet:
Risikobehandlungsstrategie (mit Begründungsfeld):
- Akzeptieren – das Risiko wird bewusst akzeptiert
- Vermindern – Maßnahmen zur Reduzierung des Risikos werden definiert
- Vermeiden – die risikoauslösende Tätigkeit wird eingestellt
- Übertragen – das Risiko wird auf Dritte übertragen (z. B. Versicherung)
Schritt 2 – Maßnahme definieren:
Aus der Bewertung werden konkrete Maßnahmen abgeleitet. Jede Maßnahme erhält eine Bezeichnung, einen Verantwortlichen und ein Fälligkeitsdatum. Eine Maßnahme hat zwei Endpunkte:
- Erledigt – der zugewiesene Mitarbeiter hat die Maßnahme durchgeführt
- Abgeschlossen – die Maßnahme wurde nach erfolgter und als wirksam bewerteter Wirksamkeitskontrolle formal abgeschlossen
Schritt 3 – Wirksamkeitskontrolle:
Analog zum Modul Beschwerden, Nichtkonforme Arbeit und Nichtkonformitäten: Die Wirksamkeitskontrolle wird geplant, durchgeführt und bewertet. Erst nach positiver Wirksamkeitsbewertung kann die Maßnahme abgeschlossen werden.
3.3 Reiter "Unternehmenswertklassen"
Zeigt alle Unternehmenswertklassen die von diesem Risiko betroffen sind – mit Kategorie, Typ und Schutzbedarfen. Die Zuordnung schließt den normativen Kreislauf nach ISO 27001: Risiko → betroffene Informationswerte → Schutzbedarf → Maßnahmen nach Annex A.
3.4 Reiter "Bereiche"
Zuordnung des Risikos zu betroffenen Organisationsbereichen über das Plus-Symbol.
4 Verwandte Module
- Unternehmenswert-Klassen – betroffene Informationswerte werden direkt verknüpft
- Beschwerden, Nichtkonforme Arbeit und Nichtkonformitäten – Vorfälle können mit Risiken verknüpft werden
- Maßnahmenübersicht – alle definierten Maßnahmen in der Gesamtübersicht
- Interessierte Parteien – Risiken können mit interessierten Parteien verknüpft werden
- Bereiche – betroffene Organisationsbereiche
- Dokumentmanagement – Verfahrensanweisungen zum Risikomanagementprozess
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren