Beurteilung von Kontrolldesign und -effizienz
Verwendung
Bei der Beurteilung des Kontrolldesigns überprüfen Sie, wie ausgereift eine Kontrolle ist.
Bei der Beurteilung der Kontrolleffizienz überprüfen Sie, welche Ressourcen zum Durchführen einer Kontrolle notwendig sind. Eine Schwachstelle existiert zum Beispiel dann, wenn eine Kontrolle manuell durchgeführt wird, jedoch auch automatisiert werden könnte.
Die beiden Beurteilungsarten können für eine Kontrolle parallel ausgeführt werden.
Zur Erfüllung der Anforderungen des SOA muss das Design einer Kontrolle durch den Verantwortlichen beurteilt werden. Daneben ist es sinnvoll, im Hinblick auf eine mögliche Prozessverbesserung auch die Effizienz einer Kontrolle zu prüfen (für SOA optional). Wenn das Kontrolldesign oder die Kontrolleffizienz noch verbessert werden kann, dann meldet der Kontrollverantwortliche die gefundene Schwachstelle. Erst wenn die Schwachstelle behoben ist, kann die Beurteilung positiv abgeschlossen werden.
Das Durchführen von Beurteilungen zu einem frühen Zeitpunkt erleichtert den Test der Wirksamkeit einer Kontrolle, der in einer späteren Phase eines MIC-Projekts durchgeführt wird.
Voraussetzungen
Sie haben im Customizing des MIC unter
Beurteilung und Test
festgelegt, ob bei der Beurteilung des Kontrolldesigns das Rating manuell oder automatisch vergeben werden soll, und wie ggf. das automatische Rating aus der Reifeabweichung ermittelt werden soll.
Die Person, die die Beurteilung durchführen soll, hat die Berechtigung für eine der folgenden Aufgaben:
Beurteilung des Kontrolldesigns durchführen (PERF-CDASS)
Beurteilung der Kontrolleffizienz durchführen (PERF-CEASS)
Funktionsumfang
Wenn der Kontrollverantwortliche die Kontrolle überprüft hat, gibt er sein Beurteilungsergebnis (Rating) über die entsprechende Aufgabe in seiner Aufgabenliste im System ein. Bei der Beurteilung der Kontrolleffizienz erfolgt die Vergabe des Ratings immer manuell. Bei der Beurteilung des Kontrolldesigns können Sie diesen Schritt automatisieren und das Rating automatisch vom System vergeben lassen. In diesem Fall ermittelt das System das Rating aus der Differenz zwischen dem geforderten Reifeziel einer Kontrolle und der vom Gutachter vergebenen aktuellen Kontrollreife (Reifeabweichung).
Neben dem Rating selbst gibt der Kontrollverantwortliche weitere Daten zu seiner Beurteilung ein, z.B. das verwendete Beurteilungsverfahren oder einen Kommentar. Wenn er eine Schwachstelle gefunden hat, meldet er diese im System.
Im Customizing können Sie festlegen, dass die Beurteilungen noch durch den Verantwortlichen des übergeordneten Objekts validiert, d.h. bestätigt, werden müssen (bei der Beurteilung einer Kontrolle also durch den Prozessverantwortlichen). Diese zentrale Einstellung zur Validierung kann bei der Übernahme von Prozessen geändert werden.
Abhängig vom Ergebnis der Beurteilung und von der Notwendigkeit einer Validierung sind verschiedene Statuswechsel und damit Prozessabläufe möglich. Weitere Informationen darüber finden Sie unter Ablauf von Beurteilungen und manuellen Tests .