Bei der Auswahl einer Software für das Risikomanagement soll aus der Vielzahl der am Markt angebotenen Produkte die Lösung gefunden werden, die am besten den Anforderungen der Organisation entspricht. Dazu ist eine strukturierte Vorgehensweise notwendig, bei der die verschiedenen Tools im Hinblick auf die Anforderungen möglichst objektiv miteinander verglichen werden.
Ein wichtiges Hilfsmittel ist eine strukturierte Liste der Kriterien, die für die suchende Organisation wichtig sind. Nachfolgend werden mögliche Kriterien vorgeschlagen, anhand derer die verschiedenen Lösungen untersucht und bewertet werden können.
Hinweise
Der Katalog deckt sowohl die fachlichen als auch die technischen Aspekte sowie die Software-Auswahl an sich ab. Sie sollten ihn jedoch nicht unverändert übernehmen, sondern ihn zunächst an Ihre Bedürfnisse anpassen. Dazu gehört, weitere Anforderungen aufzunehmen, die für Sie wichtig sind. Aber auch überflüssige Anforderungen herauszustreichen.
In blauer Schrift sind Hinweise zur Nutzung und zur Auswertung.
Auswahl-Kriterien Risk Management-Software
A Allgemeines | ||
A.1 Anbieter | ||
| 1 | Wie lange gibt es das Unternehmen? | |
| 2 | Wo hat das Unternehmen seinen Sitz und wo gibt es Niederlassungen? | |
| 3 | Wieviele Mitarbeiter hat das Unternehmen insgesamt? Wie sind die Mitarbeiter international verteilt? | |
| 4 | Wieviele Mitarbeiter arbeiten in dem Bereich, der für das angebotene System verantwortlich ist? | |
| 5 | Wie hoch war der Jahresumsatz des Unternehmens in den vergangenen drei Jahren insgesamt? | |
| 6 | Wie hoch war der Jahresumsatz des Unternehmens im hier relevanten Geschäftsbereich der vergangenen drei Jahre? | |
| 7 | In welchen relevanten Verbänden ist das Unternehmen Mitglied? | |
A.2 Kommunikation | ||
| 8 | Gibt es ein Diskussionsforum zum Produkt? | |
| 9 | Gibt es eine Anwenderkonferenz mit der Möglichkeit, sich mit anderen Anwendern auszutauschen? | |
A.3 Produkt allgemein | ||
| 10 | In welchen Editionen wird das Produkt angeboten und worin unterscheiden sie sich? (z.B. Light, Community, Vollversion, Enterprise) | |
| 11 | Wie erfolgt die Bereitstellung? Beispiele: - SaaS - on-premises (Installation im eigenen Rechenzentrum) - Appliance - others | |
| 12 | Beschreiben Sie Ihr Lizenzmodell. Nach welchen Metriken wird das Produkt lizenziert? Zum Beispiel Anzahl der hinterlegten Nutzer, Anzahl der gleichzeitigen Nutzer, Anzahl der verwalteten Objekte usw. | |
| 13 | Wenn es ein Open Source-Produkt ist: Welche Lizenz wird genutzt bzw. welche Bedingungen gelten? | |
| 14 | Wieviele Kunden nutzen das Produkt? | |
| 15 | Wie verteilen sich die Kunden international? | |
| 16 | Stellen Sie drei Referenzprojekte vor, die mit diesem Vorhaben im Hinblick auf fachliches Umfeld und Größe vergleichbar sind. | |
| 17 | Im Hinblick auf welche relevanten Branchenstandards ist das Produkt zertifiziert? | |
| 18 | Wie sieht die Roadmap des Produkts aus? | |
B Fachliche Anforderungen | ||
B.1 Risikomanagement | ||
B.1.1 Allgemein | ||
| 19 | Unterstützt das System grundsätzlich den Aufbau eines Risikomanagement-Systems? | |
| 20 | Welche Standards werden unterstützt bzw. zu welchen Standards ist das System kompatibel? z.B. ISO/IEC 31000, COSO | |
| 21 | Können Anwendungsbereiche definiert werden? | |
B.1.2 Definition der Organisation | ||
| 22 | Bietet das System die grundsätzliche Möglichkeit, die Organisation abzubilden? | |
| 23 | Können die verschiedenen Elemente einer Organisation wie Gesellschaften, Abteilungen, Standorte usw. abgebildet und klassifiziert werden? | |
| 24 | Wieviele Hierarchiestufen sind bei der Abbildung der Organisationen möglich? | |
| 25 | Lässt sich eine Matrix-Organisation abbilden? | |
| 26 | Können Unternehmens-Assets abgebildet werden? | |
| 27 | Können Geschäftsprozesse abgebildet werden? | |
B.1.3 Risikoidentifikation | ||
| 28 | Auf welchen Ebenen können Risiken kategorisiert werden? | |
| 29 | Können die Risiken Unternehmensassets und Geschäftsprozessen zugeordnet werden? | |
| 30 | Wie können Stakeholder in die Risikoidentifikation und -erfassung eingebunden werden? z.B. über Fragebögen | |
B.1.4 Risikobewertung | ||
| 31 | Können Risiken nach Eintrittswahrscheinlichkeit, Schadensart und Schadenshöhe bewertet werden? | |
| 32 | Sind quantitative und qualitative Bewertungen möglich? | |
| 33 | Beschreiben Sie die Funktionen zur Risikoaggregation (z.B. Monte-Carlo-Methode) | |
B.1.5 Risikosteuerung | ||
| 34 | Kann für jedes Risiko eine Steuerungsoption definiert werden (Vermeiden, Transfer, Verminderung, Akzeptanz)? | |
| 35 | Können jedem Risiko entsprechende Maßnahmen zugeordnet werden? | |
| 36 | Können die Kosten der Maßnahmen geplant werden? | |
| 37 | Lassen sich den Maßnahmen Verantwortlichkeiten zuordnen? | |
| 38 | Können den Maßnahmen Fristen zugeordnet und überwacht werden? | |
| 39 | Lässt sich der Umsetzungsstatus dokumentieren? | |
| 40 | Können die Verantwortlichen benachrichtigt und erinnert werden? | |
B.1.6 Reporting | ||
| 41 | Welche Reportingmöglichkeiten stehen zur Verfügung? | |
| 42 | Gibt es die grafische Darstellung einer Risikomatrix? | |
| 43 | Welche Export-Möglichkeiten stehen zur Verfügung? | |
B.1.7 Konfiguration | ||
| 44 | Erlaubt das System eine frei wählbare Einteilung der Skalen für Eintrittswahrscheinlichkeit und Auswirkung? | |
| 45 | Können die Stufen der Skalen textuell erläutert werden? | |
| 46 | Kann die Formel zur Berechnung der Risikozahl ist aus einer vordefinierten Menge ausgewählt werden bzw. ist sie frei definierbar? | |
| 47 | Kann für die Risikomatrix definiert werden, welche Kombinationen aus Eintrittwahrscheinlichkeit und Auswirkung bzw. welcher Wert der Risikozahl in welcher Farbe angezeigt werden soll? | |
B.1.8 Andere Module | ||
| 48 | Welche weiteren Module stehen zur Verfügung und können integriert werden? | |
B.2 Dokumentenverwaltung (für Richtlinien u.ä.) | ||
| 49 | Bitte bestätigen Sie, dass mit Dokumenten gearbeitet werden kann, die entweder direkt im System erstellt werden können oder als Anhang abgelegt werden können oder über die Verlinkung zu externen Quellen. | |
| 50 | Können die Dokumente mit fachlichen Datenobjekten verknüpft werden? | |
| 51 | Können Dokumente direkt in der Anwendung erstellt werden? | |
| 52 | Steht ein Rich Text-Editor zur Verfügung, der die Formatierung von Texten ermöglicht? | |
| 53 | Können in den Text auch Bilder eingebunden werden? | |
| 54 | Können extern erstellte Dokumente als Anhang angehängt und gespeichert werden? | |
| 55 | Können Dokumente, die in anderen Systemen abgelegt sind, verlinkt werden? | |
| 56 | Können die Dokumente mit einem Gültigkeitsdatum versehen werden? | |
| 57 | Können Dokumente auf Wiedervorlage gesetzt werden? | |
| 58 | Gibt es eine Versionierung der Dokumente? | |
B.3 Aufgabensteuerung | ||
| 59 | Gibt es eine Aufgabensteuerung, um die Erledigung von Aufgaben nachvollziehbar zu machen? Beschreiben Sie die Funktionen. | |
| 60 | Wie erfolgt die Information der Mitarbeiter über anstehende Aufgaben? | |
| 61 | Gibt es Eskalationsmöglichkeiten, wenn Fristen nicht eingehalten werden? | |
| 62 | Gibt es Übersichten, die den Status der Aufgaben darstellen? | |
C Qualitätsanforderungen | ||
C.1 Benutzerfreundlichkeit | ||
C.1.1 Bedienung | ||
| 63 | Gibt es Kopierfunktionen für Daten, um größere Bestände effizient erfassen zu können? | |
| 64 | Gibt es Assistenten, die den Anwender durch komplexe Bearbeitungsschritte führen? | |
| 65 | Ist die Anwendung vollständig über die Tastatur bedienbar? | |
| 66 | Gibt es Shortcuts für häufig genutzte Operationen? | |
| 67 | Kann die Anwendung mehrfach im Browser geöffnet werden? | |
C.1.2 Dashboard | ||
| 68 | Gibt es ein Dashboard, auf dem wichtige Informationen und KPIs aggregiert dargestellt werden? | |
| 69 | Können Benutzer ihr Dashboard individuell anpassen? | |
C.1.3 Listen | ||
| 70 | Beschreiben Sie die Möglichkeiten, in Listen die Spalten anzupassen. - Breite der Spalten kann verändert werden. - Die gewählte Spaltenbreite wird gespeichert und wird beim nächsten Aufruf wieder angewendet - Spalten können ein- und ausgeblendet werden. - Eine Spalte kann in ihrer horizontalen Position eingefroren werden. | |
| 71 | Beschreiben Sie die Sortiermöglichkeiten in Listen. - Sortieren nach beliebigen Spalten - Auf- und Abwärtssortierung - Sortierung nach mehreren Ebenen | |
| 72 | Beschreiben Sie die Such- und Filtermöglichkeiten in Listen. - Es gibt ein Suchfeld, das eine Suche über alle Inhalte erlaubt - Es können komplexe Suchen mit Operatoren und Klammern gebildet werden. | |
| 73 | Können Abfragen gespeichert und später wieder aufgerufen werden? Können Suchen anderen Benutzern zur Verfügung gestellt werden? | |
| 74 | Können Einträge abhängig von Daten formatiert werden? (z.B. negative Werte rot) Beschreiben Sie die Möglichkeiten. | |
| 75 | Können Werte direkt in der Liste bearbeitet werden? | |
C.2 Suche | ||
| 76 | Gibt es eine übergeordnete Suche bzw. Volltextsuche? | |
C.3 Barrierefreiheit | ||
Dieser Teil ist nur relevant, wenn das System zur Nutzung durch entsprechend behinderte Menschen vorgesehen ist oder wenn Regeln der Organisation vorschreiben, dass Barrierefreiheit gewährleistet sein muss. | ||
| 77 | Unterstützt das System die barrierefreie Nutzung durch Blinde, Sehbehinderte und motorisch eingeschränkte Menschen? | |
| 78 | In welchem Maße entspricht das System den Standards Barrierefreie-Informationstechnik-Verordnung BITV 2.0 und Web Content Accessibility Guidelines WCAG 2.1? | |
| 79 | Erläutern Sie, welche Tools (Screenreader, Lupensoftware usw.) unterstützt werden. | |
C.4 Lokalisierung | ||
| 80 | Welche Oberflächensprachen stehen zur Verfügung? | |
C.5 Berechtigungssystem | ||
| 81 | Ist das System mandantenfähig? Beschreiben Sie die Möglichkeiten. | |
| 82 | Beschreiben Sie das Berechtigungssystem. | |
C.6 Datenhaltung | ||
| 83 | Kann jedes Datenobjekt im System über einen fachlichen Schlüssel / fachliche ID identifiziert werden? (z.B. PE-000123 für eine Person) | |
| 84 | Hat jedes Datenobjekt eine Angabe zur Gültigkeit? | |
| 85 | Beschreiben Sie die Mechanismen zum sicheren Umgang mit konkurrierenden Änderungen an den Daten (optimistisches oder pessimistisches Locking). | |
| 86 | Werden Änderungen an Daten historisiert, so dass sie zu einem späteren Zeitpunkt nachvollziehbar sind? | |
| 87 | Können Verknüpfungen zwischen Datenobjekten mit einem Gültigkeitsdatum versehen werden? | |
| 88 | Können die Inhalte archiviert und dort unveränderbar aufbewahrt werden? | |
| 89 | Haben die Datenobjekte eine eindeutige ID, so dass sie technisch adressierbar sind? (z.B. beim Abgleich über Schnittstellen) | |
C.7 Performance | ||
| 90 | Bitte bestätigen Sie: Das System ist in der Lage, mit den im Konzept genannten Datenmengen umzugehen | |
| 91 | Bitte bestätigen Sie: Das System hat bei den im Konzept genannten Datenmengen und parallelen Benutzerzahlen das folgenden Antwortzeiten:
- Listen und Bearbeitungsmasken öffnen sich in 90% der Fälle innerhalb von 2 Sekunden
- Berichte öffnen sich in 90% der Fälle innerhalb von 10 Sekunden Passen Sie die Zahlen entsprechend Ihres Bedarf an, bleiben Sie dabei jedoch realistisch. Dazu gehört, dass es immer Masken gibt, die etwas länger brauchen. Das sollten aber nicht die Masken sein, die permanent genutzt werden - grenzen Sie es also sinnvoll ein. | |
C.8 IT-Sicherheit | ||
| 92 | Beschreiben Sie die Maßnahmen und Prozesse, mit denen Sie Sicherheitslücken in der Anwendung erkennen und bereinigen. | |
C.9 Datenschutz | ||
| 93 | Beschreiben Sie, wie das System bei der Umsetzung der DSGVO unterstützt. Wie werden Anfragen von Betroffenen umgesetzt? Gibt es ein Konzept zum Löschen von Daten bei Ablauf der Löschfristen? | |
| 94 | Gibt es die Möglichkeit, die über eine Person gespeicherten personenbezogenen Daten zu beauskunften? | |
| 95 | Gibt es die Möglichkeit, personenbezogene Daten für die Verarbeitung zu sperren? | |
| 96 | Gibt es die Möglichkeit, personenbezogene Daten zu löschen? | |
| 97 | Gibt es die Möglichkeit, personenbezogene Daten zu löschen, deren Zweck weggefallen ist bzw. deren Aufbewahrungsfristen abgelaufen sind? | |
C.10 Anforderungen an den technischen Betrieb | ||
Dieser Abschnitt ist nur bei einer on-premise-Installation relevant | ||
| 98 | Welche laufenden Tätigkeiten sind für den Systembetrieb notwendig? Mit welchen Aufwände ist zu rechnen? | |
| 99 | Beschreiben Sie die Möglichkeiten, den Systembetrieb zu überwachen. Logdateien, Warnungen bei kritischen Zuständen usw. | |
| 100 | Beschreiben Sie das Konzept der Datensicherung für das System. | |
C.11 Anforderungen an den SaaS-Betrieb | ||
Dieser Abschnitt ist nur bei einem SaaS-Betrieb (Cloud-Nutzung) relevant. | ||
Er ist noch unvollständig. | ||
| 101 | Liegen die Daten in einem Rechenzentrum in D/A/CH bzw. in der EU? | |
| 102 | Bestätigen Sie, dass auf die Daten im Rechenzentrum nicht nach dem Patriot-Act zugegriffen werden kann. | |
| 103 | Ist das Rechenzentrum im Hinblick auf die Informationssicherheit zertifiziert bzw. geprüft? (z.B. ISO 27001, ISAE 3402) | |
C.12 Support | ||
| 104 | Beschreiben Sie die verschiedenen Support-Stufen, die Sie anbieten. Nennen Sie dazu jeweils die Servicezeiten sowie die Reaktions- und Lösungszeiten. | |
| 105 | Gibt es für das System einen Helpdesk in ... (Sprache)? Gewünschte Sprachen einsetzen. | |
| 106 | Gibt es ein Ticket-System, um Probleme und Fragen einzustellen? | |
| 107 | Gibt es eine Wissensdatenbank zu häufigen Fragen und Problemen? | |
| 108 | Gibt es ein Online-Forum, um sich mit anderen Anwendern auszutauschen und Lösungen zu finden? | |
C.13 Updates und Releasesicherheit | ||
| 109 | Beschreiben Sie Ihren Produktlebenszyklus: In welchem Zyklus bringen Sie neue Versionen (Major / Minor Releases) und Fehlerbereinigungen heraus? | |
| 110 | Beschreiben Sie, welche Arten von Anpassungen am System vorgenommen werden können (z.B. Konfiguration, Customizing) und wie release-sicher diese Änderungen jeweils sind. Nennen Sie insbesondere die Änderungen, die bei einem Update manuellen Zusatzaufwand verursachen. | |
| 111 | Mit welchem Aufwand muss ein Kunde beim Einspielen eines Update (Major/Minor Release, Fehlerbereinigung) rechnen? | |
| 112 | Wie werden Kunden über neue Updates informiert? | |
C.14 Dokumentation | ||
| 113 | Welche Dokumentation wird zum System bereitgestellt? | |
| 114 | In welchen Sprachen steht die Produktdokumentation zur Verfügung? Deutsch, Englisch, ... | |
| 115 | Gibt es eine kontextsensitive Hilfe? | |
| 116 | Gibt es Tutorials oder Best-Practice-Anleitungen? Sie zeigen anhand von Beispielen, wie bestimmte Strukturen aufgebaut und Aufgaben erledigt werden können. | |
C.15 Training | ||
| 117 | Beschreiben Sie, welche Schulungsangebote es zu dem System gibt. | |
C.16 Testdaten | ||
| 118 | Gibt ein Testsystem bzw. einen Testmandanten, um das System zu erlernen? | |
| 119 | Gibt es Testdaten, um die typische Nutzung an Beispielen zu erlernen? | |
D Technische Anforderungen | ||
D.1 Systemarchitektur | ||
| 120 | Beschreiben Sie die grundsätzliche Systemarchitektur Ihrer Anwendung. Gehen Sie dabei auf Komponenten wie Client, Server, Datenbank, Schnittstellen usw. ein | |
D.2 On-Premise-Installation | ||
Bei einer Installation im eigenen Rechenzentrum (on-premises) gibt es in der Regel Vorgaben von der IT bzw. vom IT-Dienstleiser, welche Infrastrukturkomponenten genutzt werden können. Das betrifft u.a. Betriebssysteme, Datenbanken und Applikationsserver. Beispiel: Das Rechenzentrum stellt als Datenbank MS SQL Server zur Verfügung, aber kein Oracle. Die Software des Anbieters muss diese Komponenten unterstützen, sonst kann sie nicht on-premises installiert und betrieben werden. Passen Sie deshalb die nachfolgenden Anforderungen entsprechend der Vorgaben an und fragen Sie damit beim Anbieter ab, ob er die jeweilige Komponente unterstützt. | ||
Lassen Sie diesen Abschnitt weg, wenn Sie ausschließlich eine Cloud-Lösung suchen. | ||
D.2.1 Anwendungsserver | ||
| 121 | Falls die Anwendung einen Server erfordert: Beschreiben Sie die Systemvoraussetzungen für den Server mit unterstützten Betriebssystemen, erforderlichen Laufzeitumgebungen usw. | |
| 122 | Falls die Anwendung ein proprietäres Basissystem wie z.B. MS Sharepoint voraussetzt: Beschreiben Sie die Voraussetzungen. Wenn die Anwendung auf einem proprietären System beruht und ein dieses System ist bei Ihnen bereits im Einsatz, dann kann es die technischen Aufwände erheblich reduzieren. Sollte dieses System jedoch bei Ihnen nicht genutzt werden, so können spürbare Mehrkosten und Zusatzaufwände entstehen. | |
D.2.2 Datenbank | ||
| 123 | Ist eine Datenbank erforderlich? Manche Anwendungen bringen eine eigene Datenbank mit, andere Anwendungen setzen das Vorhandensein einer Datenbank voraus. | |
| 124 | Welche Datenbanken (einschließlich Versionen) werden von der Anwendung unterstützt? Wird auch eine lizenzfreie Datenbank unterstützt? Setzen Sie die Datenbank(en) ein, die in Ihrer Organisation unterstützt werden, z.B. Oracle 21c, MS SQL Server 2022, MariaDB 11 | |
D.3 Client | ||
Im Idealfall ist die Anwendung für Endbenutzer komplett über den Browser bedienbar, so dass auf dem Arbeitsplatzrechner keine Installation erforderlich ist. Alternativ kann die Software auch lokal installiert werden, insbesondere bei einer überschaubaren Anzahl von Benutzern. | ||
| 125 | Muss zur Nutzung des Systems durch Endbenutzer auf dem Arbeitsplatzrechner eine Software installiert werden? | |
| 126 | Muss zur Administration des Systems auf dem Arbeitsplatzrechner eine Software installiert werden? | |
D.3.1 Lokal installierter Client | ||
| 127 | Welche Betriebssysteme werden bei einer Client-Installation unterstützt? | |
| 128 | Ist auf dem Arbeitsplatzrechner eine Laufzeitumgebung erforderlich, um den Client auszuführen? | |
D.3.2 Browser | ||
| 129 | Welche Browser werden unterstützt? (mit Versionen) Die Frage zielt darauf, ob die in Ihrer Organisation erlaubten bzw. notwendigen Browser unterstützt werden. | |
| 130 | Sind im Browser veraltete Laufzeitumgebungen wie clientseitiges Java, Flash oder Silverlight erforderlich? Es sollen keine Anwendungen mehr neu eingeführt werden, die die genannten Laufzeitumgebungen benötigen. | |
D.4 Mobile Nutzung | ||
| 131 | Ist die Oberfläche responsive? | |
| 132 | Welche Arten von Mobilgeräten werden unterstützt (Smartphone, Tablet)? | |
| 133 | Ist die Anwendung auf dem Browser von mobilen Endgeräten nutzbar? | |
| 134 | Gibt es für die Anwendung eine native App? Beschreiben Sie den Funktionsumfang, im Vergleich zur Desktop- bzw- Browser-Variante. | |
| 135 | Welche Mobil-Betriebssysteme werden unterstützt? Sollte ggf. auf die in Ihrer Organisation genutzten Mobil-Betriebssysteme eingegrenzt werden. | |
| 136 | Kann die App mit einem Mobile Device Management administriert werden? Ggf. sollte konkret nach den vorhandenen MDM-Systemen gefragt werden. | |
D.5 Benutzerverwaltung | ||
Häufig gibt es zwei Arten von Benutzern: | ||
- Lokal in der Anwendung verwaltete Benutzer: Diese werden beispielsweise genutzt, wenn es nur wenige Benutzer gibt und die lokale Pflege einfacher ist als die Erstellung und Wartung einer LDAP-Schnittstelle. Oder wenn externe Benutzer eingebunden werden sollen, die man nicht im eigenen LDAP pflegen möchte. | ||
- In einem Verzeichnisdienst verwaltete Benutzer: In der Regel wird die Pflege von Benutzern zentral in Systemen wie Active Directory vorgenommen. Die Informationen werden dann über eine Schnittstelle mit der Anwendung synchronisiert und stehen dort zur Verfügung. Dies vereinfacht die Administration der Benutzer, erfordert jedoch eine entsprechende LDAP-Schnittstelle. | ||
Je nach Komplexität der Organisation und abhängig von den Anforderungen kann auch ein Mischbetrieb sinnvoll sein oder muss möglich sein, Benutzerinformationen aus mehreren Verzeichnis-Systemen einzulesen. | ||
| 137 | Gibt es eine lokale Benutzerverwaltung im System? | |
| 138 | Gibt es eine LDAP-Schnittstelle, um Benutzer aus einem Verzeichnis zu synchronisieren? Wird eine Anbindung an ... unterstützt? Setzen Sie die Verzeichnisdienste ein, die für Ihre Organisation relevant sind, z.B. Active Directory | |
D.6 Authentifizierung | ||
| 139 | Wird Single Sign-On (SSO) unterstützt? Beschreiben Sie die Möglichkeiten. | |
D.7 Schnittstellen | ||
| 140 | Bietet das System eine API, mit der von außen auf das System zugegriffen werden kann? Beschreiben Sie die Möglichkeiten. | |
| 141 | Erläutern Sie Ihre Methodik, um Schnittstellen zu Drittsystemen herzustellen. | |
| 142 | Zu welchen Drittsystemen gibt es Standard-Konnektoren? | |