Klare Antworten
auf Ihre Fragen

Können alle relevanten Organisationseinheiten, auch bei einer komplexen Konzernstruktur, in den Risikomanagement-Workflow abgebildet werden (z.B. Zentralbereiche in Konzerngesellschaften bzw. Unternehmensbereichen)?

Ja, es können eine beliebige Anzahl von Entitäten erstellt werden und diese können weiter in Risiko-Hauptkategorien, Kategorien und Unterkategorien unterteilt werden.

Können Risikomanagement-Verantwortlichkeiten auf unterschiedlichen Hierarchie-Ebenen mit unterschiedlichen Berechtigungen im Tool definiert werden (z.B. zentraler Risk-Controller sieht alle Risiken und kann diese theoretisch bearbeiten; spezifischer Risk-Owner sieht nur seine Risiken und kann nur diese bearbeiten)?

Ja, das Tool unterstützt ein Rollenkonzept, bei dem verschiedene Risikomanagement-Verantwortlichkeiten auf unterschiedlichen Hierarchie-Ebenen definiert werden können. Dies bedeutet, dass ein zentraler Risk-Controller Zugriff auf alle Risiken hat, während ein spezifischer Risk-Owner nur auf die Risiken zugreifen kann, die ihm zugewiesen sind, und nur diese bearbeiten kann.

Wie ist die User Rechteverwaltung/Rechtekonzept aufgebaut?

Es können Rollen definiert werden, die Benutzern pro Entität zugewiesen sind. Ein Benutzer hat eine spezifische Rolle zu einer spezifischen Entität. Benutzer können zwar mehrere Rollen innehaben, jedoch nur eine pro Entität. Dies sorgt dafür, dass die Zugriffsrechte klar und strukturiert sind.

Können User über notwendige Arbeitsschritte unter Nutzung des Tools informiert werden (z.B. Email-Notification über anstehende Risikoinventur/-aktualisierung)?

Ja, es können Workflows definiert werden. Ein Teil dieser Workflows umfasst Benachrichtigungen, die sowohl im System selbst als auch per E-Mail versendet werden können. Dies ermöglicht eine automatische und rechtzeitige Information der Nutzer über anstehende Arbeitsschritte.

Welche Alert/Notifier-Funktionen sind vorhanden?

Alert- und Notifier-Funktionen werden über Workflows ausgelöst. Diese Trigger können sehr unterschiedlich sein, zum Beispiel wenn Elemente zur Bearbeitung anstehen (z. B. ein Termin), ein Workflow weitergereicht wurde oder Validierungsregeln auf bestimmte Sachverhalte angewendet werden (z. B. wenn ein Schwellenwert überschritten wurde).

Sind im Tool User-Rollen einrichtbar?

Ja, Rollen können im Tool definiert werden, um verschiedenen Nutzern unterschiedliche Zugriffsrechte und Verantwortlichkeiten zuzuweisen. Diese Rollen können individuell gestaltet und verwaltet werden.

Können Risikokataloge zur Unterstützung der User bei der Risikoidentifikation genutzt werden (z.B. Risikokategorien + zugeordnete (Muster-)Risiken (Risikoausprägungen))?

Ja, das Tool ermöglicht es, Risikokataloge zu definieren, die den Nutzern bei der Identifikation von Risiken helfen. Diese Kataloge können Risikokategorien sowie zugeordnete Muster-Risiken und Risikoausprägungen enthalten.

Ist eine multi-dimensionale Clusterung/Kategorisierung von Risiken möglich (z.B. nach Zentralbereichen in den Konzerngesellschaften bzw. Unternehmensbereichen, aber auch nach Risikokategorien, Risikoausprägungen etc.)?

Ja, das Tool ermöglicht eine multi-dimensionale Clusterung und Kategorisierung von Risiken. Dies kann über Hauptkategorien, Kategorien und Unterkategorien erfolgen. Darüber hinaus besteht eine weitere Gliederungsmöglichkeit, die auf n:n-Auswahlmöglichkeiten basiert (üblicherweise Prozesse), was eine flexible und detaillierte Einteilung der Risiken erlaubt.

Können Risiken anhand des potenziellen Schadensausmaßes und der Eintrittswahrscheinlichkeit sowohl quantitativ als auch qualitativ im Tool bewertet werden?

Ja, das Tool bietet die Möglichkeit, Risiken sowohl quantitativ als auch qualitativ zu bewerten. Dabei können das potenzielle Schadensausmaß sowie die Eintrittswahrscheinlichkeit berücksichtigt werden, um eine umfassende Risikoanalyse zu ermöglichen.

Können Gegenmaßnahmen den identifizierten Risiken zugeordnet werden?

Ja, Gegenmaßnahmen können den identifizierten Risiken zugeordnet werden, sodass die entsprechenden Maßnahmen zur Risikominimierung oder -beseitigung direkt im Tool verwaltet und nachverfolgt werden können.

Können definierte Verantwortliche von Gegenmaßnahmen automatisch informiert werden, sobald sich Änderungen ergeben?

Ja, das Tool bietet die Möglichkeit, definierte Verantwortliche von Gegenmaßnahmen automatisch zu informieren, sobald sich Änderungen an den zugeordneten Risiken oder Maßnahmen ergeben. Dies stellt sicher, dass alle relevanten Personen immer auf dem neuesten Stand sind.

Können Umsetzungsfristen und/oder Meldefristen für Gegenmaßnahmen definiert werden?

Ja, Umsetzungsfristen und Meldefristen für Gegenmaßnahmen können im Tool definiert werden, um sicherzustellen, dass die Maßnahmen rechtzeitig umgesetzt und überwacht werden.

Können unterschiedliche Freigabe-Stufen für Risikomeldungen im Tool definiert werden (z.B. auf Ebene Zentralbereiche in den Konzerngesellschaften bzw. Unternehmensbereichen)?

Ja, das Tool unterstützt unterschiedliche Freigabe-Stufen für Risikomeldungen. Diese können auf verschiedenen Ebenen, beispielsweise auf der Ebene von Zentralbereichen in Konzerngesellschaften oder Unternehmensbereichen, definiert werden.

Wie sind die Funktionalitäten und der Workflow zur fortlaufenden Analyse der unternehmensweiten Risikotragfähigkeit unter Berücksichtigung von Ergebnisauswirkung und Liquidität gestaltet?

Risiken werden bewertet und in den Kontext der Planung (GuV, Bilanz) gestellt. Mittels Simulationstechniken werden Risikokennzahlen wie die Risikotragfähigkeit oder ein Rating berechnet. Ohne Simulation können in einem Dashboard Schwellenwerte definiert werden, oder es können ad-hoc-Meldungen mittels Validierungsregeln erstellt werden, um Risiken frühzeitig zu erkennen und entsprechend zu reagieren.

Wie gestaltet sich die Funktionalität/das Verfahren zur Aggregation gleichartiger Risiken?

Risiken werden bewertet und in den Kontext der Planung (GuV, Bilanz) gestellt. Mittels Simulationstechnik können gleichartige Risiken aggregiert werden. Diese Aggregation kann über Hauptkategorien, Kategorien und Unterkategorien oder auch über spezifisch definierte Charakteristiken erfolgen. Die kumulierten Risiken können dann mittels Monte-Carlo-Simulation sowohl brutto als auch netto simuliert werden.

Welche Funktionalitäten zur Aggregation identifizierter Risiken zu einer Gesamtrisikoposition über alle Risikoarten und Risikokategorien (z.B.: mittels Szenarioanalyse/Simulationsverfahren) sind vorhanden?

Das Tool bietet die Möglichkeit, Monte-Carlo-Simulationen im Modul „Simulation“ durchzuführen. Die Basis für diese Simulationen können verschiedene Verteilungsfunktionen sein, wie z. B. Dreiecksverteilung, Normalverteilung, Lognormalverteilung oder auch feste Höhen. Es können beliebig viele Szenarien pro Risiko simuliert werden, wobei üblicherweise ein bis maximal drei Szenarien verwendet werden. Die Simulation selbst umfasst bis zu 100.000 Szenarien.

Ist eine Szenariobetrachtung bei der Risikobewertung (insb. zur Forecastbetrachtung) möglich?

Ja, eine Szenariobetrachtung ist möglich. Üblicherweise erfolgt die Simulation in Bezug auf die Planung (Budget). Eine Mehrjahresbetrachtung ist ebenfalls möglich, wird jedoch in der Praxis eher selten angewendet.

Im Fall von modularem Systemaufbau (Risk Management, Revision, Compliance): Können die User-Gruppen spezifisch angelegt und für jedes Modul auch ein eigener Admin eingerichtet werden?

Ja, es ist möglich, User-Gruppen spezifisch anzulegen und für jedes Modul einen eigenen Admin einzurichten. Die Benutzerverwaltung im Admin-Bereich kann entweder freigeschaltet oder nicht zugänglich gemacht werden. Allerdings kann sie nicht weiter unterteilt werden, außer in Bezug auf die Rechtevergabe (Lesen/Schreiben).

Können standardisierte Risikoberichte und Dashboards aus dem Tool generiert werden (z.B. Heat Maps, tabellarische Priorisierung von Risikofeldern/ Risiken)?

Ja, es ist möglich, standardisierte Risikoberichte und Dashboards im Tool zu generieren. Diese können beispielsweise Heat Maps oder tabellarische Priorisierungen von Risikofeldern und Risiken enthalten.

Können die Berichte in andere Dateiformate exportiert werden (z.B. Excel, PPT, PDF)?

Ja, die generierten Berichte können in verschiedene Dateiformate wie Excel, PPT oder PDF exportiert werden.

Können Risikoberichte aus unterschiedlichen Perspektiven im Tool generiert werden (Gesamtkonzern, einzelne Risikokategorien, einzelne Segmente/ Konzerngesellschaften/ Unternehmensbereiche etc.)?

Ja, es ist möglich, Risikoberichte aus verschiedenen Perspektiven zu erstellen, z. B. für den Gesamtkonzern, einzelne Risikokategorien, Segmente, Konzerngesellschaften oder Unternehmensbereiche.

Können Ad-hoc Risikoberichte unter Nutzung des Tools generiert werden (auch außerhalb des Regel-Turnus der Risikoberichte)?

Ja, das Tool ermöglicht die Erstellung von Ad-hoc Risikoberichten, auch außerhalb des regulären Berichtsturnus.

Ermöglicht das Tool dynamische Management-Cockpits (z.B. Drill-downs zur detaillierten Ansicht der Risikosituation)?

Ja, das Tool unterstützt dynamische Management-Cockpits, die Drill-downs für eine detaillierte Ansicht der Risikosituation ermöglichen.

Sind in dem Produkt entsprechende Analysetools vorhanden/ Wenn ja, mit welchen Funktionalitäten?

Ja, es gibt Analysetools, die in Dashboards vorkonfiguriert werden können. Die Analyse erfolgt durch Filteroptionen, die eine detaillierte Auswertung ermöglichen.

Existiert die Möglichkeit, nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Einzelrisiken automatisch zu Risikofeldern zu aggregieren und z.B. mittels eines Algorithmus zu einer validen Bewertung des Risikofeldes zu gelangen?

Ja, in der Konsolidierung können Risiken gezielt aggregiert werden. Qualitativ bewertete Risiken werden, sofern die entsprechenden Einstellungen gesetzt sind, anhand von Schwellenwerten in Euro berechnet. Die Aggregation erfolgt mithilfe einer Monte-Carlo-Simulation.

Ermöglicht das Tool eine Status-Übersicht zur Nachverfolgung von laufenden Risikoinventuren/ -aktualisierungen (Wie viele und welche Einheiten haben die Risikoinventur/ -aktualisierung bereits abgeschlossen?)?

Ja, das Tool unterstützt Status-Übersichten, die durch Workflows und/oder Dashboards basierend auf eingetragenen Werten ausgewertet werden können.

Können eigene Berichte in das Tool integriert und dort auch gestaltet werden? Verzahnung mit finanzwirtschaftlichen Kenngrößen wie Eigenkapital, Liquidität, Freie Kreditlinie, etc.? Ggf. auch über die Anbindung an FiBu-/BI-System?

Eigene Dashboards und Reports sind möglich. Schnittstellen oder Anbindungen an externe Systeme wie FiBu- oder BI-Systeme sind jedoch nicht verfügbar.

Ist es möglich im Tool relevante Richtlinien, Verfahrensanweisungen etc. zu hinterlegen (z.B. Risikomanagement-Richtlinie)?

Ja, das Tool bietet die Möglichkeit, relevante Dokumente wie Richtlinien oder Verfahrensanweisungen zu hinterlegen.

Können Nutzer über Änderungen in Richtlinien, Verfahrensanweisungen etc. automatisch informiert werden?

Benachrichtigungen über Änderungen in Richtlinien sind möglich. Dies erfolgt jedoch nicht automatisch, sondern erfordert eine Aktion seitens des Verantwortlichen für die Richtlinien.

Kann die Freigabe von Risikomeldungen durch übergeordnete Risikoverantwortliche am Ende einer Risikoinventur/ eines Risiko Updates im Tool dokumentiert werden (inkl. Data Freeze)?

Ja, die Freigabe und Dokumentation von Risikomeldungen erfolgt über Workflows. Diese Abläufe werden historisiert.

Kann der Data Freeze auch auf angehangene/ hochgeladene Dokumente, Unterlagen und/ oder Nachweise ausgeweitet werden?

Die Historisierung umfasst weitreichende Inhalte, allerdings nicht die angehängten Dateien. Die Dateien werden jedoch für jede Periode gespeichert, was eine Nachweisführung ermöglicht. Bei jedem Speichervorgang würde ansonsten eine Datei hinterlegt, was zu einem signifikanten Speicherbedarf führen könnte.

Können mögliche Änderungen durch den freigebenden Verantwortlichen an der ursprünglichen Risikomeldung nachvollziehbar dokumentiert werden?

Ja, es gibt eine Historisierung, die über Snapshots oder Archive nachvollzogen werden kann.

Ist eine Dokumentation von Ad-hoc Risikomeldungen über das Tool möglich?

Ja, in der Regel lösen Ad-hoc Risikomeldungen einen Workflow aus, der dokumentiert wird.

Kann die Risikobewertung anhand von Schadensausmaß und Eintrittswahrscheinlichkeit nachvollziehbar dokumentiert werden (sowohl brutto als auch netto) (inkl. Erläuterung der wesentlichen Bewertungsprämissen + ggf. Anhang von erläuternden Dateien)?

Ja, die Risikobewertung kann dokumentiert werden, sofern die entsprechenden Risikobeschreibungsfelder definiert sind. Dateianhänge sind ebenfalls möglich.

Kann der Status von Risiko-Gegenmaßnahmen im Tool dokumentiert werden (z.B. in Planung, implementiert, need for action)?

Ja, der Status von Risiko-Gegenmaßnahmen kann im Tool dokumentiert und nachverfolgt werden.

Ist eine revisionssichere Nachvollziehbarkeit für alle Änderungen an Risikomeldungen, User-Berechtigungen sowie am Tool sichergestellt (Audit Trail/ Change history: wer, was, wann)?

Ja, dies wird durch die Verwendung von Historisierungstabellen, also Kopien der laufenden Tabellen, sichergestellt.

Verzahnung mit Compliance Management: Ist eine Verzahnung des Risikomanagements mit dem Compliance Management unter Nutzung des Tools möglich (z.B. über verzahnbare Tool-Module)? Bitte erläutern Sie kurz „wie“?

Es gibt in RIMIKSX drei voneinander unabhängig konfigurierbare Module (Risiko, Chance, Audit), die für jede Entität konfiguriert werden können. Audit wird häufig als Compliance-Modul verwendet. Die gleichzeitige Darstellung ist nur in Dashboards und Reports möglich. Üblich ist eine Verwendung für Compliance, interne Revision oder ISMS.

Ist eine Verzahnung des Risikomanagements mit dem Internen Kontrollsystem und der Prozesslandschaft unter Nutzung des Tools möglich (z.B. über verzahnbare Tool-Module)? Bitte erläutern Sie kurz „wie“?

Für jeden Inhalt (Risiko, Chance, Audit) sind Kontrollen im Sinne des Internen Kontrollsystems möglich, zusätzlich zu den Maßnahmen.

Ist eine Verzahnung des Risikomanagements mit dem Planungsprozess unter Nutzung des Tools möglich (z.B. über verzahnbare Tool-Module)? Bitte erläutern Sie kurz „wie“?

Simulationen sind möglich. Die Verzahnung erfolgt durch die freie Konfiguration der Simulationstabellen. Es gibt jedoch keine Schnittstellen zu externen Datenquellen.

Ist eine Verzahnung mit weiteren Steuerungs-/Informationssystemen möglich (z.B. BI-System, Incident Management)?

Nein, es gibt keine Schnittstellen zu externen Datenquellen.

Können Risiken mit Key Risk Indicators aus anderen Reportingsystemen des Unternehmens aktiv verzahnt werden?

Nein, es gibt keine Schnittstellen zu externen Datenquellen.

Welche Art von Usern können bei Ihnen in der Software angelegt werden (Named- oder Concurrent-User)?

Benutzer müssen im System definiert sein, sonst ist kein Zugriff möglich. Benutzer werden Rollen für ihre Entitäten zugewiesen. Eine Anmeldung per Single Sign-On (SSO) ist ebenfalls möglich.

Wie schätzen Sie den Grad der intuitiven Steuerbarkeit des Tools für die User ein?

Die Steuerbarkeit des Tools wird als gut eingeschätzt, jedoch hängt die Nutzererfahrung stark von der Bereitschaft der einzelnen Benutzer ab.

Sind im Tool Suchfunktionen möglich (z.B. nach Risikobezeichnungen)?

Ja, für jede Tabelle gibt es Filterfunktionen. Ansonsten können mit den Browserfunktionen Suchen durchgeführt werden, z. B. in Risikobeschreibungen.

Können „Help-Boxen“ mit den Eingabefeldern verlinkt werden?

Ja, es sind in vielen Icons Pop-ups eingefügt, die als „Help-Boxen“ dienen.

Kann zwischen unterschiedlichen Sprachen zur Toolnutzung gewählt werden? Wenn ja, welche?

Ja, es gibt verschiedene Sprachen, und es können beliebig viele weitere Sprachen hinterlegt werden. Derzeit sind rund 30 Sprachen verfügbar, darunter Englisch, die EU-Sprachen, Japanisch und Chinesisch.

Kann die Tool-Performance bei gleichzeitiger Nutzung durch eine hohe Anzahl von Usern negativ beeinflusst werden?

Nein, die Eingaben im Tool erfordern kaum Ressourcen. Einzig Klonvorgänge und Simulationen benötigen signifikante Ressourcen, die jedoch auf 80% maximiert sind, um die Performance nicht zu beeinträchtigen.

Können wir eine Demo-Version eingerichtet bekommen, um uns selbst ein Bild vom System machen zu können?

Ja, es ist möglich, eine Demo-Version des Systems einzurichten, damit Sie sich selbst ein Bild machen können.

Inwieweit kann das Customizing nach der initialen Implementierung des Tools durch ausgewählte Administratoren des Unternehmens selbst vorgenommen werden (z.B. Anpassungen von Feldern, Auswertungsmöglichkeiten, Merkmale/Attribute, Workflows)?

Die Administratoren haben uneingeschränkte Rechte und können Anpassungen im System selbst vornehmen. Konfigurationen sind uneingeschränkt möglich, was Anpassungen von Feldern, Auswertungsmöglichkeiten, Merkmalen und Workflows betrifft.

Steht eine Help-Desk Funktion bei technischen Fragen zum Tool zur Verfügung? Wenn ja, entstehen dadurch Extra-Kosten?

Ja, es steht eine Help-Desk-Funktion zur Verfügung. Diese ist im Rahmen der Pflege- und Wartungsverträge enthalten, sodass keine zusätzlichen Kosten entstehen.

Ist die Dateneingabe/-bearbeitung auch außerhalb des Tools mit anschließender Upload-Funktion möglich (z.B. Risiken außerhalb des Tools in Excel-Format aktualisieren und anschließend hochladen)?

Ja, es ist möglich, Daten außerhalb des Tools zu bearbeiten und anschließend hochzuladen. Dies sollte jedoch mit Vorsicht erfolgen, da unsachgemäße Verwendung zu Datenüberschreibungen führen könnte. Export- und Upload-Funktionen sind in fast allen Tabellen vorhanden.

Ist eine Bearbeitung von Risikomeldungen auch „offline“ mit späterer Synchronisierung möglich?

Ja, auch eine Offline-Bearbeitung von Risikomeldungen mit späterer Synchronisierung ist möglich. Auch hier ist Vorsicht geboten, um Datenüberschreibungen zu vermeiden.

Sind technische Schnittstellen zu anderen IT-Anwendungen möglich (z.B. ERP-System, Controlling-Tools)? Wenn ja, welche?

Nein, es gibt keine technischen Schnittstellen zu anderen IT-Anwendungen.

Wie werden unbefugte Zugriffe auf das Tool verhindert (z.B. Passwort, Berechtigungskonzepte)?

Der Zugriff auf das Tool wird durch Passwörter und Berechtigungskonzepte gesichert.

Können Massen-Daten zwecks Datenmigration in das Tool hochgeladen werden?

Ja, das Hochladen von Massen-Daten zur Datenmigration ist möglich.

Wie häufig erfolgen i.d.R. Release-Wechsel? Entstehen hierdurch zusätzliche Kosten?

Updates erfolgen situativ, abhängig von notwendigen Änderungen. Major Updates erfolgen etwa halbjährlich. Diese Updates sind im Rahmen der Pflege- und Wartungsverträge enthalten und verursachen keine zusätzlichen Kosten.

Erfolgt der Tool Zugriff über eine Web-based Application oder einen Client Server? Cloud-Lösung, SaaS, Lizenzmodell?

Es handelt sich um eine Cloud-Lösung. Eine SaaS-Lösung wird bevorzugt, jedoch ist auch der Kauf sowie ein eigenes Hosting möglich. Die Lizenzierung hängt von der Anzahl der verwendeten Entitäten ab. Es gibt keine Einschränkungen bezüglich der Anzahl der Benutzer.

Sind auf den Clients (Laptop/PC) Installationen Ihres Produktes erforderlich oder spezielle Änderungen notwendig?

Nein, es sind keine besonderen Anforderungen an die Clients notwendig, lediglich ein Browser, da es sich um eine webbasierte Lösung handelt.

Existiert im Unternehmen (Auftragnehmer) eine Organisation, eine Gruppe oder eine Person, die für das Thema Informationssicherheit fachlich verantwortlich ist?

Ja, im Unternehmen existiert eine zuständige Organisation oder Gruppe für Informationssicherheit.

Welche Standards, Normen oder Richtlinien werden für die Aufrechterhaltung der Informationssicherheit im Unternehmen eingesetzt?

Dies hängt vom gewählten Beratungspartner ab. Ein Beispiel ist die Funk-Gruppe, einer unserer Partner, die nach ISO 27001 zertifiziert ist.

Falls ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001:2013 existiert: Liegt eine aktuelle Zertifizierung des ISMS vor? Wenn ja, ist eine Einsichtnahme in die letzte Zertifizierung möglich?

Die Mindnet Consult selbst ist nicht zertifiziert. Einige unserer Partner, ist jedoch nach ISO 27001 zertifiziert.

Wie lautet der Geltungsbereich des ISMS?

Die Zertifizierung umfasst den Unternehmensverbund.

Wie lautet die Erklärung der Anwendbarkeit (Statement of Applicability) für den Geltungsbereich des ISMS?

Diese Information ist nicht bekannt.

Existieren Richtlinien und Prozesse zum Risikomanagement für die Informationssicherheit im Unternehmen?

Ja, solche Richtlinien und Prozesse existieren.

Existieren Richtlinien, Verfahrensanweisungen oder Prozesse zur Sicherheitsüberprüfung von Personal vor Durchführung eines Arbeitsverhältnisses oder etwaigen Tätigkeiten im Auftrag des Unternehmens?

Ja, es gibt entsprechende Richtlinien und Prozesse.

Existieren Richtlinien und Prozesse zur Erstellung und Umsetzung von Sicherheitskonzepten?

Ja, es existieren entsprechende Richtlinien und Prozesse.

Existieren Richtlinien und Prozesse zum Security Incident Management (Behandlung von Sicherheitsvorkommnissen) im Unternehmen?

Ja, solche Richtlinien und Prozesse sind vorhanden.

Existieren Anforderungen zur Informationssicherheit für die Erbringung von IT-Dienstleistungen durch Unterauftragnehmer? Falls ja, welche?

Ja, solche Anforderungen existieren.

Sitz des Unternehmens, Data-Residency, Zugriffskonzept, Löschkonzept, DSGVO

Die Mindnet Consult hat ihren Sitz in der Schweiz. Das Rechenzentrum befindet sich in Deutschland.

Kann der Anbieter mit seiner Softwarelösung die SWMH Sicherheitsanforderungen gemäß beigefügtem SecurityAnnex gewährleisten und das Annex als Teil des Vertrags unterzeichnen?

Nein, dies ist nur bei eigenem Hosting möglich. Die Detaillierung des Rechenzentrums liegt uns nicht vor. Aufgrund der Professionalität des Rechenzentrums gehen wir jedoch davon aus, dass die Anforderungen erfüllt werden können.

Werden Sicherheitskonzepte regelmäßig auf ihre Einhaltung und Wirksamkeit überprüft sowie im Bedarfsfall aktualisiert und verbessert?

Ja, Sicherheitskonzepte werden regelmäßig überprüft und bei Bedarf aktualisiert und verbessert.

Erfolgt eine regelmäßige Prüfung zur Einhaltung und Wirksamkeit der Standards, Prozesse oder Richtlinien zur Informationssicherheit im Unternehmen sowie allen Unterauftragnehmern durch Auditierungen? Falls ja, welche Art von Auditierungen?

Nein, Prüfungen erfolgen sporadisch. Es gibt keine regelmäßigen Auditierungen.

In welchen Zyklen werden interne oder externe Auditierungen durchgeführt?

Prüfungen erfolgen sporadisch und es gibt keine festgelegten Zyklen für externe Prüfungen.

Bitte nennen Sie uns Referenz-Kunden, bei denen Ihre Risikomanagement-Tool-Lösung bereits genutzt wird. Dürfen diese Referenzkunden kontaktiert werden?

Ja, Referenzkunden können auf Anfrage zur Verfügung gestellt werden.

Wieviel Jahre Markterfahrung des Softwareanbieters sind vorhanden?

Die erste Software wurde 2005 auf den Markt gebracht, damals noch keine webbasierte Lösung.

Ist branchenspezifische Erfahrung vorhanden?

Ja, branchenspezifische Erfahrung ist vorhanden.

Marktdurchdringung und Qualität des Produktes; Markterfahrung – (Anzahl der Jahre/Marktdurchdringung)

Es gibt langjährige Erfahrung (über 20 Jahre). Zahlen zur Marktdurchdringung liegen jedoch nicht vor.

Wie viele Mitarbeiter beschäftigen sich in Ihrem Unternehmen mit der Einführung der Risikomanagement-Tool-Lösung?

Die Mitarbeiter sind aufgeteilt in Entwicklung und Beratung, wobei die Beratung über Partner wie die Funk-Gruppe erfolgt. In der Entwicklung arbeiten ständig drei Mitarbeiter an RIMIKSX. In der RM-Beratung mit RIMIKSX-Kenntnissen sind es zusammen mit Partnerunternehmen fünf Berater.

Ab wann wäre der Start eines möglichen Tool-Implementierungs-Projekts für Sie möglich?

Ein Start ist jederzeit möglich.

Wie lange dauert die Implementierung des Risikomanagement-Tools bei ca. 80 Risikoverantwortlichen?

Die reine Konfiguration dauert 3-5 Tage, einschließlich Datenmigration. Die Konfigurationsphase kann sich jedoch über einen längeren Zeitraum hinziehen, abhängig von der Organisation des RM-Teams und der Tool-Freigabe. Die Schulung für Risk Manager ist unkritisch, während Administratoren etwas mehr Schulung benötigen.

Welche Art von Vertrag wird üblicherweise geschlossen: Bereitstellungsauftrag oder auch Dienstleistungsauftrag?

Üblicherweise beides. Der Beratungsauftrag umfasst in der Regel mindestens die Konzeption und die Konfiguration.

Bitte erläutern Sie kurz das Kostenmodell für einmalige Kosten im Zusammenhang mit der Tooleinführung unter Angabe möglichst konkreter Werte (insb. Kosten für Implementierung und Aktivierung).

Die Kosten betragen üblicherweise für die Konzeption 1-2 Beratungstage sowie 3-5 Konfigurationstage inklusive Datenmigration. Ein Beratungstag wird mit 1.900 € fakturiert. Insgesamt bewegen sich die Kosten zwischen 10.000 und 15.000 €.

Bitte erläutern Sie kurz das Kostenmodell für laufende Kosten nach Einführung des Tools unter Angabe möglichst konkreter Werte (insb. Kosten für Lizenzen und Maintenance).

Die Lizenzkosten sind abhängig von der Anzahl der benötigten Entitäten und können erst nach dem Erstgespräch festgelegt werden. Die jährlichen Kosten belaufen sich auf etwa 5.000 €. Die Pflege- und Wartungskosten betragen 10% der Lizenzkosten (in diesem Beispiel 500 €). Zusätzlich fallen bei externem Hosting monatlich 100 € Hostingkosten an, also insgesamt 1.200 € pro Jahr. Diese Kosten entfallen bei eigenem Hosting.

Bitte erläutern Sie kurz das Kostenmodell für mögliche sonstige Kosten unter Angabe möglichst konkreter Werte (insb. Scope-Änderungen, Release Updates, zukünftige Change Requests).

Bei einem Pflege- und Wartungsvertrag entstehen keine zusätzlichen Kosten. Falls das Tool jedoch auf eigenem Hosting installiert wird, fallen einmalig 1.000 € für die Installation an.

Ist ein eigener abgeschirmter Bereich für die Nutzung als Revision-Tool möglich (bspw. eigener Mandant)?

Ja, es stehen drei Module zur Verfügung: Risiko, Chance und Audit.

Ist es möglich, dass die Revision ein eigenes Berechtigungskonzept erstellen und pflegen kann?

Ja, es ist möglich, dass die Revision ein eigenes Berechtigungskonzept erstellt und verwaltet.

Inwieweit sind mandantenbezogene Admin-Berechtigungen möglich?

Für jeden Mandanten können eigene Rollen eingerichtet werden.

Ist es möglich, eine Struktur nach Prüfung/Bericht, Kapiteln, Unterkapiteln, Feststellungen, Sachverhalt, Beurteilung, Maßnahmen, Verantwortlichen, Prüfern, Fälligkeitszeitpunkten und Beobachtern/Mitarbeitern aufzubauen? Kann diese Struktur an mehreren Stellen frei klassifiziert werden (z.B. Geschäftsjahr, Unternehmensbereich, Gesellschaft, Prüfthema, Risikobereich, Risikotyp)?

Ja, es sind identische Strukturen wie bei Risiko- und Chancenmanagement möglich. Allerdings ist das Tool nicht speziell auf Revision fokussiert. Prüfungen sind in der Regel periodisch angelegt, Kapitel werden durch Kategorien/Unterkategorien abgebildet, und Feststellungen entsprechen den Risiken. Sachverhalte sind Beschreibungen, und Maßnahmen sind direkt verwaltet. Klassifikationen sind an vielen Stellen möglich, auch rollenbezogen.

Können Maßnahmen prüfungsbezogen und nicht (nur) risikobezogen gepflegt werden?

Ja, Maßnahmen können auch prüfungsbezogen gepflegt werden.

Können zu Maßnahmen zusätzliche Felder genutzt bzw. definiert werden, in denen Informationen zu Sachverhalt und Beurteilung stehen?

Ja, zusätzliche Felder können für Maßnahmen definiert werden, um Sachverhalte und Beurteilungen zu erfassen.

Sind eigene Felder definierbar: Wie flexibel bzw. mächtig ist das System? An welchen Stellen sind Anpassungen möglich (z.B. Datentypen, Foreign Key, berechnete Felder, Dropdown-Menüs)? Wo sind die Grenzen?

Es sind an vielen Stellen Anpassungen möglich. Allerdings ist die genaue Beschreibung der Flexibilität nicht zielführend in dieser Antwort. Das System kann viele Anforderungen erfüllen, doch um die Grenzen zu verdeutlichen, wäre eine detaillierte Präsentation sinnvoll.

Können Maßnahmen nach einer revisionsspezifischen (vom Risikomanagement unabhängigen) Kategorisierung klassifiziert und abgefragt werden? Können Maßnahmen in mehreren Kategorien gleichzeitig erscheinen?

Ja, es gibt jedoch nur drei Kategorien mit jeweils beliebig vielen Unterkategorien. Maßnahmen können in mehrere Kategorien eingeordnet werden.

Können Maßnahmen mit beliebig vielen „Tags“ klassifiziert werden? Sind diese Tags in einem Dropdown-Menü verfügbar? Können Tags bei der Berichtserstellung verwendet werden?

Dropdown-Menüs mit beliebig vielen Tags sind möglich. Eine Steuerung in Workflows ist ebenfalls möglich. Abhängig von der Fragestellung könnte auch das „Claims-Modul“ genutzt werden, das weitere Möglichkeiten bietet.

Ist ein (lizenzfreier) Zugang zur Bearbeitung und Stellungnahmen zu den Maßnahmen für einen offenen Nutzerkreis bzw. für potenziell alle Mitarbeiter des Konzerns möglich?

Nein, Benutzer müssen angelegt sein. Allgemeine Benutzer können jedoch eingerichtet werden, beispielsweise für die Finanzabteilung. E-Mail-Adressen definieren den Benutzer eindeutig. Ein offener Nutzerkreis ist aus Revisions- und Sicherheitsgründen nicht empfehlenswert. Mit Single-Sign-On (SSO) könnte die Benutzerverwaltung leichter umgesetzt werden, allerdings erhöht ein offener Nutzerkreis den administrativen Aufwand erheblich.

Können Maßnahmen mit einer beliebigen Anzahl von Stellungnahmen versehen werden? Sind diese Stellungnahmen mit einem Zeitstempel versehen und können sie sortiert werden?

Für Maßnahmen gibt es nur ein Beschreibungsfeld. Es können jedoch beliebig viele Änderungen erfolgen, und diese werden historisiert. Es gibt keinen Zeitstempel, aber die Einträge in der Historisierung sind mit einem Datum versehen.

Können Umsetzungszeitpunkte für Maßnahmen verlängert werden? Gibt es eine Historie zu den Umsetzungszeitpunkten, inklusive des ursprünglich vorgesehenen Umsetzungszeitpunkts? Ist es möglich, die Anzahl der Verlängerungen und die Zeitdifferenz abzufragen?

Ja, bei einem Klon der Maßnahme werden die bisherigen Umsetzungszeitpunkte erhalten, inklusive der ursprünglichen und der neuen Maßnahmen-ID. Die Historisierung zeigt ebenfalls Änderungen auf.

Können in das System Dokumente nach einer eigenen Ordnung oder Hierarchie geladen werden? Können diese Dokumente mit „Tags“ versehen werden? Sind Dokumente von einer beliebigen Maßnahme oder Stellungnahme aus ansprechbar, verlinkbar und verknüpfbar? Bleibt diese Verlinkung bestehen, wenn die Dokumente in der Hierarchie verschoben werden?

Dokumente können nur bestimmten Elementen wie Sachverhalten, Maßnahmen, Kontrollen, Claims und Berichten angehängt werden. Eine eigene Dokumentenordnung gibt es nicht.

Gibt es ein automatisiertes Benachrichtigungssystem mittels Mails? Ist dieses individuell über Regeln zu steuern? Werden die Mails in der Datenbank archiviert? Können die Mails mehreren Maßnahmen oder Stellungnahmen zugeordnet werden?

Ja, ein automatisiertes Benachrichtigungssystem mittels Mails ist vorhanden. Die Steuerung erfolgt individuell über Regeln. Die Mails werden nicht in der Datenbank archiviert, aber sie können Maßnahmen oder Stellungnahmen zugeordnet werden.

Gibt es eine Reportingfunktionalität? Sind Drilldowns möglich? Ist das Reporting individualisiert und offen, um es flexibel (z.B. mittels SQL, R, Python) zu ergänzen? Verfügt das System über eine ausgereifte Grafikbibliothek (z.B. R, matplotlib)?

Ja, Reporting-Funktionen sind vorhanden und Drilldowns möglich. Individualisierte Berichte können mit DevExpress, dem integrierten Tool, erstellt werden. SQL-Abfragen sind möglich, und es gibt Unterstützung für fortgeschrittene grafische Darstellungen.

Sind Datenerhebungen mittels Fragebögen im bzw. aus dem System möglich? Wie flexibel bzw. mächtig ist diese Funktionalität? Welche Einschränkungen gibt es?

Fragebögen können beliebig erfasst werden, sowohl für Entitäten als auch für Unterkategorien. Es gibt jedoch keine direkte Verknüpfung mit Risiken, Chancen oder Audits. Vorlagen für Risiken und Chancen können erstellt werden.

Können abgrenzbare Datenbereiche, Folder oder Dateiordner definiert werden, auf die beliebige Nutzer (lizenfrei) zugreifen können (nur lesend, lesend/schreibend, lesend/schreibend/löschend)? Ist es möglich, flexible Hierarchien zu bilden? Wie fein granuliert können die Zugriffsrechte eingerichtet werden?

Benutzer müssen Zugang zu RIMIKSX haben und mit einer Rolle definiert sein. Einschränkungen sind möglich, bis auf die Ebene der Unterkategorien. Die Einrichtung granularer Zugriffsrechte kann den administrativen Aufwand erheblich erhöhen.

Können die Ordner mit „Tags“ versehen werden? Können ordnerbezogene Nachrichten hinterlegt werden?

In Validierungsregeln können Unterkategorien als Bedingung hinterlegt werden, und daraufhin kann ein Workflow generiert werden. Nachrichten und Benachrichtigungen per E-Mail können durch den Workflow ausgelöst werden.

Ist die Datenbank direkt mittels SQL abfragbar? Ist ein Download von Abfragen als CSV, Excel, JSON, XML oder SQL möglich? Können Downloads systematisch verlinkte „Blob“-Daten enthalten?

Ja, Abfragen im Tool selbst (auch mit SQL) sind möglich. Das System unterstützt den Export von Daten in Excel und andere Formate. Systematische Verlinkungen sind jedoch nicht möglich. Der direkte Zugang zum Datenbankserver wird nur empfohlen, wenn das Tool im eigenen Hosting betrieben wird. Andernfalls erfolgt der Zugriff durch den Beratungsvertrag, da aus Sicherheitsgründen kein direkter Zugang gewährt wird.

Gibt es eine Dokumentation über die  Tabellen in der Datenbank (vorausgesetzt, es handelt sich um eine relationale Datenbank)? Gibt es eine Dokumentation zum Objektmapping?  Wird diese regelmäßig aktualisiert?

Ja, eine Dokumentation ist vorhanden, jedoch nicht frei zugänglich.

Ist das RMS-System auch umfassend zur Nutzung als CMS-System geeignet (z.B. für Risikoanalyse, Auswertungsmöglichkeiten, systemisches Erinnern und Nachhalten)?

Ja, das System kann als CMS genutzt werden, wenn das Audit-Modul verwendet wird. Die Titel der Felder können angepasst werden.

Unterstützt das System die Entwicklung und Durchführung von Abhilfemaßnahmen aus der Risikoanalyse?

Es gibt Vorlagen für Abhilfemaßnahmen, die jedoch eher allgemeiner Natur sind. In der zweiten Jahreshälfte ist die Integration von KI geplant, um die Unterstützung zu erweitern.

Bietet das System Zugriffsmöglichkeiten auf relevante Risiken aus dem RMS innerhalb des CMS?

Es gibt keine direkte Verbindung zwischen RMS und CMS. Die Zugriffe werden über Rollen gesteuert. Kombinierte Inhalte können in Dashboards und Berichten angezeigt werden.

Bietet das System ein umfassendes, den gesetzlichen Anforderungen entsprechendes Hinweisgebersystem gemäß dem Hinweisgeberschutzgesetz (HinSchG) und dem Lieferkettensorgfaltspflichtengesetz (LkSG) (z.B. interne/externe Hinweisabgabe, Anonymisierungsmöglichkeiten)?

Ja, ein Hinweisgeber-Modul ist implementiert.

Gibt es ein Dashboard mit Kommunikations- und Bearbeitungsmöglichkeiten für einzelne Hinweise?

Ja, ein solches Dashboard ist vorhanden.

Bietet das System ein sicheres Postfach?

Ja, die Tabellen sind in einem separaten Bereich untergebracht, der von anderen Bereichen getrennt ist.

Gibt es im System eine systemische Darstellungsmöglichkeit für andere Risiken, wie z.B. rechtliche Verfahren?

Beim Hinweisgebermodul können Kategorien definiert werden, allerdings ist die Auswahl auf eine Dropdown-Liste beschränkt.