Beurteilung und Test von Management-Kontrollen

Verwendung

Wenn eine Organisationseinheit oder Prozessgruppe eine Management-Kontrolle als relevant übernommen hat (siehe Übernahme von Management-Kontrollen ), dann muss diese vom Verantwortlichen der Organisationseinheit bzw. Prozessgruppe beurteilt werden. Wenn außerdem das Kennzeichen Zu testen gesetzt ist , muss die Wirksamkeit der Management-Kontrolle auch getestet werden. Der Test kann von beliebigen Testern durchgeführt werden, die zugeordnet werden müssen.

Voraussetzungen

Im Customizing des MIC ist unter Beurteilung und Test Folgendes festgelegt:

  • die Ratings, bei denen ein Gutachter bzw. Tester eine Schwachstelle melden muss

  • die Logik, nach der die Ratings der Management-Kontrollen auf der übergeordneten Ebene der Management-Kontrollen-Gruppen vom System aggregiert werden sollen (nach dem Durchschnitt aller Ratings oder nach dem schlechtesten Rating innerhalb der Gruppe)

  • die Einstellung, ob die Beurteilungen von Management-Kontrollen von einer weiteren Person validiert werden müssen

Die Personen, die die Beurteilung bzw. den Test ausführen sollen, haben die Berechtigung für die jeweilige Aufgabe (siehe Aufgaben: Beurteilung und Test der Mgmt-Kontrollen ).

Funktionsumfang

Der Funktionsumfang bei der Beurteilung und dem Test von Management-Kontrollen ist im Prinzip derselbe wie bei der Beurteilung von Kontrolldesign und -effizienz und beim Test der Wirksamkeit einer Kontrolle . Es sind jedoch als Beurteilungs- und Testergebnis weniger Daten anzugeben , nämlich nur ein Rating und – wenn das Rating nicht grün ist – ein Kommentar zu diesem Rating. Je nach Einstellung im Customizing muss bei einem gelben oder roten Rating eine Schwachstelle gemeldet werden.

Beachten Sie außerdem die folgenden Besonderheiten bei der Beurteilung und dem Test der Management-Kontrollen:

  • Die Bedienungsoberfläche ist einfacher gehalten als bei der Beurteilung und dem Test von Kontrollen. Da eine Person oftmals viele Management-Kontrollen bearbeiten muss, werden alle Management-Kontrollen in einer bearbeitbaren Liste aufgeführt, in der das Beurteilungs- oder Testergebnis schnell eingetragen werden kann.

  • Bei der Beurteilung einer Management-Kontrolle wird das Rating immer manuell vergeben. Eine automatische Ermittlung ist nicht möglich.

  • Beim Test einer Management-Kontrolle wird das Rating ebenfalls manuell vergeben und nicht automatisch aus der Anzahl der Schwachstellen ermittelt.

  • Die Validierung des Tests einer Management-Kontrolle ist nicht möglich.