Risikovorbeugung: Prophylaxe
Technische Maßnahmen
- Identifizierung infrage kommender technischer Lösungen
- Gibt es bereits bewährte Methoden?
- Bewertung des Nutzens bzw. des Kosten-Nutzen-Effekts
- Wie groß ist die Anwendungserfahrung?
- Einkauf / Ausschreibung
- Prüfung der Wirkung, Durchführung von Übungen und Tests
- Regelmäßige Prüfung alternativer/neuer Technologien und deren Wirkung (Vor- und Nachteile gegenüber etablierten Systemen; auch ohne Zulassung)
Organisatorische Maßnahmen
Risikoorganisation & Risikomanagementstruktur
Abhängig vom Grad des Risikos und der Organisationserforderlichkeit, muss eine Risikoorganisation bzw. eine Risikomanagementstruktur geplant und angewendet werden.
Identifizierung der möglichen Lösungen bzw. der notwendigen Verhaltensweise.
Planung eines Einsatzteams für den Notfall
- Identifizierung von vorhandenen Spezialisten für den Notfall- & Kriseneinsatz
- Notfallorganigramm
- Aufbau, Sensibilisierung und Schulung der Beteiligten (Zertifizierung)
- Handbuch, Vorschriften, Checklisten
Regelmäßige Trainings und Störfallübungen (angekündigt und unangekündigt).
Anpassung der Notfallpläne, Checklisten und Vorgehensweisen, wenn sich relevante Rahmenbedingungen ändern.
Kontinuierliche Aktualisierung und Auffrischung der Trainings alle 2 bis 3 Jahre.
Zusammenarbeit mit Notfall- und Sicherheitsorganisationen
Koordination & Training der Zusammenarbeit mit Sicherheitsdiensten, Polizei, Feuerwehr etc.
Kommunikative Maßnahmen
Kommunikation innerhalb des Unternehmens, der Behörde etc. auf allen Ebenen.
- Kommunikationspläne
– Zuständigkeiten
– Inhalt & Sprachregelung - Externe Hotline
- Feedback
- Rückkopplung
Finanzielle/Finanztechnische Maßnahmen
- Festlegung der Prioritäten
- Festlegung der Mittel
Festlegung der Instrumente: Three Lines of Defense (3LoD)
- Internes Kontrollsystem (IKS) im operativen Tagesgeschäft
– Prozessintegrierte Kontrollen
– Strikte Funktionstrennung
– Segregation of Duties (SoD) - IKS als Monitoring- und Kontrollinstanz
– Monitoring (Kennzahlen, Red Flags, Warnhinweise)
– Kennzahlensystem KPI (Aufbau, Anpassung, Bewertung) - Interne Revision
– Objektive & unabhängige Beratungsinstanz
Informationstechnologische Maßnahmen (IT)
- IT-Landmap-Analyse (Hardware)
- IT-System-Analyse (Software)
- Administration
- Support
Rechtliche & Verwaltungstechnische Maßnahmen
- Interne Policies & Procedures (z.B. Code of Conduct)
- Befugnisse & Vollmachten (z.B. zustimmungspflichtige Geschäfte)
- Vertragsmanagement und Terminmonitoring
Prüfung der Maßnahmenwirkung
- Dokumentenlevel
- Realität
Prüfung möglicher multipler Fehlerquellen
- Fault-Tree-Analysis