Schwachstellenanalyse

Verwendung

Mit der Schwachstellenanalyse können Sie die Auswirkungen und den potenziellen Schaden von Schwachstellen auf verschiedenen Aggregationsebenen analysieren und bewerten.

Dabei teilen Sie die Schwachstellen in verschiedene Mangelarten ein, Sie erfassen den potenziellen Schaden, den eine Schwachstelle auslösen kann, und Sie geben die Wahrscheinlichkeit an, mit der der Schaden eintritt. Auf der Basis dieser Eingaben und der Customizing-Einstellungen ermittelt das System das Ausmaß der Schwachstelle und teilt sie in folgende Klassifizierungen ein:

  • Mangel

  • Signifikanter Mangel

  • Schwerwiegender Mangel (Material Weakness)

Schwerwiegende Mängel müssen nach dem Sarbanes-Oxley-Act in der Bilanz/GuV erwähnt werden.

Die Schwachstellenanalyse ist eine vorbereitende Maßnahme für die Abzeichnung.

Voraussetzungen

  • Sie haben in der Organisationshierarchie die Ebenen festgelegt, auf denen Sie die Schwachstellenanalyse durchführen möchten.

  • Sie haben im Customizing des MIC die IMG-Aktivitäten unter Schwachstellenanalyse ausgeführt:

    • Unter Einstellungen zur Schwachstellenanalyse vornehmen haben Sie die Berechnung des Ausmaßes nach Mangelarten sowie die Aggregationsarten festgelegt. Außerdem können Sie die Bezeichnung von Attributwerten für die Schwachstellenanalyse ändern.

    • Unter Schwachstellen kopieren und Grenzwert setzen haben Sie die Datenmenge und den Zeitpunkt festgelegt, auf deren Basis Sie die Analyse durchführen möchten . Außerdem haben Sie den Grenzwert festgelegt, der die Berechnung des Ausmaßes einer Schwachstelle bestimmt.

  • Die Personen, die die Schwachstellenanalyse durchführen sollen, haben die Berechtigung für eine der folgenden Aufgaben:

    • Schwachstellenanalyse auf Konzernebene durchführen (PERF-DFACP)

    • Schwachstellenanalyse auf Organisationseinheitsebene durchführen (PERF-DFAOU)

Funktionsumfang

Die Person, die die Berechtigung für die Aufgabe Schwachstellenanalyse auf Organisationseinheitsebene durchführen (PERF-DFAOU) auf der untersten Ebene hat, die in der Organisationshierarchie gekennzeichnet ist, beginnt mit der Schwachstellenanalyse. Von dort ab erfolgt die Analyse bottom-up auf den in der Organisationshierarchie gekennzeichneten Ebenen.

Die Schwachstellenanalyse umfasst die Liste der im Customizing kopierten Schwachstellen. Zu jeder Schwachstelle gibt es folgende Eingabefelder:

  • Kontengruppe

    Geben Sie die Kontengruppe an, auf die die Schwachstelle Auswirkungen haben kann. Wenn eine Schwachstelle auf mehrere Kontengruppen Auswirkung hat, dann können Sie einen weiteren Eintrag für die Schwachstelle einfügen und eine zusätzliche Kontengruppe auswählen.

  • Art des Mangels

    Sie können drei Mangelarten auswählen. Die Bezeichnungen dieser Mangelarten legen Sie im Customizing fest. Ebenfalls im Customizing definieren Sie, für welche dieser Mangelarten das Ausmaß der Schwachstelle vom System berechnet werden soll. Nur für die Mangelarten mit automatischer Berechnung sind die Felder Potenzieller Schaden und Wahrscheinlichkeit eingabebereit.

  • Potenzieller Schaden

    Geben Sie an, welcher finanzielle Schaden durch die Schwachstelle entstehen kann.

  • Wahrscheinlichkeit

    Geben Sie an, wie wahrscheinlich es ist, dass der Schaden eintritt.

  • Minderung

    Geben Sie an, ob es Faktoren gibt, die den Mangel mindern könnten. Das Feld ist für alle Schwachstellen eingabebereit, die Eingabe wirkt sich aber nur auf die Mangelarten mit automatischer Berechnung aus.

  • Ausmaß

    Geben Sie für Mangelarten, bei denen keine automatische Berechnung möglich ist, manuell das Ausmaß an.

  • Aggregationsart

    Wählen Sie eine der Aggregationsarten aus, die im Customizing angelegt wurden. Sie können die Liste der Schwachstellen nach der Aggregationsart sortieren und erhalten in der Zwischensummenzeile die Summe aller Werte einer Aggregationsart.

  • Kommentar pro Zeile

    Pro Zeile können Sie einen Kommentar hinterlegen. Nach dem Sichern und absenden kann ein Kommentar nicht mehr geändert werden, auch nicht auf der höheren Ebene.

Aus den Eingaben ermittelt das System die Werte für folgende Felder:

  • Ausmaß

    Bei Mangelarten mit automatischer Berechnung berechnet das System das Ausmaß aus dem im Customizing hinterlegten Grenzwert und dem potenziellen Schaden.

  • Klassifizierung

    Das System berechnet die Klassifizierung aus dem (automatisch berechneten oder manuell erfassten Ausmaß) und der Wahrscheinlichkeit.

Folgende Grafik stellt die beschriebenen Zusammenhänge dar:

Die Klassifizierung wird folgendermaßen vom System berechnet:

Wahrscheinlichkeit

Verknüpfung

Ausmaß

Klassifizierung

Gering

ODER

Vernachlässigbar

Mangel

Nicht gering

UND

Nicht zu vernachlässigen

Signifikanter Mangel

Nicht gering

UND

Schwerwiegend

Schwerwiegender Mangel

Wenn Sie eine Minderung erfasst haben, ändert sich die Qualifizierung folgendermaßen:

Minderung

Verbesserung eines Mangels

Verbesserung eines signifikanten Mangels

Verbesserung eines schwerwiegenden Mangels

Ja

Keine Verbesserung

Signifikanter Mangel wird zum Mangel

Schwerwiegender Mangel wird zum Mangel

Teilweise

Keine Verbesserung

Signifikanter Mangel wird zum Mangel

Schwerwiegender Mangel wird zum signifikanten Mangel

Nein

Keine Verbesserung

Keine Verbesserung

Keine Verbesserung

Sie können die erfassten Daten als Entwurf sichern. Erst wenn Sie Sichern und absenden wählen, dann sendet der Workflow eine Aufgabe an die nächsthöhere Ebene. Dort können die Daten ‑ mit Ausnahme der Kommentare ‑ überschrieben werden. Auf den unteren Ebenen erfasste Werte zum potenziellen Schaden können Sie unter Bereits erfasster potenzieller Schaden anzeigen.