No Risk – More Fun! GRC@SAVISCON
Wie wir mit unserem Risiko-Management starten
von Uwe Straßberger, Director Sales & Marketing bei der SAVISCON GmbH
Wie versprochen geht es heute in die zweite Runde unserer Blog-Reihe GRC@SAVISCON. Heute mit mir, Uwe Straßberger, als Autor und einem genaueren Blick in das Projekt „Risiko-Management“. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Risiko-Management.
Risikokultur – Tone from the Top
Wenn man ein solches Projekt startet, muss das vom höheren Management getragen werden. Das ist aufgrund der Struktur und Größe bei uns nicht so ein großes Thema. Da unser Geschäftsführer (siehe letzter Blog) das Programm ja selbst aufgesetzt hat, wissen wir natürlich auch, dass das Thema in der Unternehmensleitung als wichtig angesehen und vorangetrieben wird. In anderen Unternehmen mag das aber nicht so sein, daher ist hier wichtig: Versichern Sie sich der vollen Unterstützung Ihrer Unternehmensführung! Wenn diese das Thema als unwichtig oder zweitrangig abstempelt, werden Sie mit hoher Wahrscheinlichkeit Probleme bekommen, die notwendigen Ressourcen in Form von Personal, Zeit und Arbeitsmitteln zur Verfügung gestellt zu bekommen. Außerdem ist es dann schwieriger, in der Belegschaft die notwendige Akzeptanz zu erzeugen.
Projekt- und Ressourcenplanung
Gemeinsam mit meinem Kollegen Mark Teichmann (Produktentwicklung) leite ich das Projekt Risiko-Management. Als aufmerksamer Leser haben Sie bestimmt festgestellt, dass ich als „Director Sales & Marketing“ sowie Mark als „Produktentwickler“ keine klassischen „Risiko-Manager“ sind. Das liegt daran, dass wir unser Risiko-Management schnellstmöglich starten und vorerst kein Budget für zusätzliche Personalkosten verwenden wollten. Daher auch unser Tipp für kleine und wachsende Unternehmen: Schieben Sie Ihr Risiko-Management nicht auf die lange Bank, wenn aktuell kein Budget für einen Risiko-Manager eingeplant ist. Nutzen Sie beim Aufbau Ihres Risiko-Management-Systems stattdessen zu Beginn die vorhandenen internen Personalressourcen. Das Risiko-Management wächst zusammen mit ihrem Unternehmen und wenn die Geschäftsprozesse sowie Regularien komplexer werden, können Sie auch zu einem späteren Zeitpunkt einen Risiko-Manager einstellen – eventuell zunächst als Teilzeitstelle. Mit dem passenden digitalen Risiko-Management-Tool können Sie Ihr Unternehmen bereits mit einem geringen Personal- bzw. Budgetaufwand absichern. Diese Entscheidung hängt natürlich auch immer ganz von der Größe ihres Unternehmens und der Komplexität ihrer Geschäftsprozesse ab. Wir haben uns, wie erwähnt, zunächst dazu entschieden bestehende Ressourcen zu nutzen und planen pro Woche mit fünf Stunden pro Mitarbeiter. Wenn zwei Mitarbeiter an einem Projekt arbeiten, gibt es außerdem einen wöchentlichen Jour fixe, um den aktuellen Stand und das weitere Vorgehen zu besprechen. Die Meilensteine wurden uns vom Programm vorgegeben. Auf der Basis haben wir dann die einzelnen Schritte in Termine heruntergebrochen.
Risikoidentifizierung
Im ersten Schritt haben wir den Ist-Zustand analysiert: Welche Organisationseinheiten bzw. welche Geschäftsprozesse haben wir, welche externen Tools nutzen wir und welche Risiken resultieren daraus? Dazu haben wir alle Kollegen mit eingebunden und befragt. In virtuellen Sitzungen sprachen wir mit jeder Organisationseinheit, in unserem Fall sind das: Geschäftsführung, IT, Consulting, Administration, Marketing und Vertrieb sowie Datenschutz. So konnten wir in einem Brainstorming-Ansatz über zwei Wochen hinweg alle aus den Abteilungen bekannten potenziellen Risiken sammeln. Wichtig: Wir haben vorab eine Mail an alle Kollegen geschrieben, in der wir den Ablauf erklärt und die Deadline genannt haben. Uns war ebenfalls sehr wichtig rüberzubringen, dass es erstmal nur darum geht zu starten. An dieser Stelle gibt es keinen Anspruch auf Perfektion oder Vollständigkeit. Tatsächlich hat das bei uns im Team gut funktioniert und wir haben bis zur genannten Deadline alles geschafft. Alle Mitarbeiter so detailliert zu befragen ist natürlich – je nach Unternehmensgröße – nicht immer möglich. Dennoch sollte hier zumindest immer ein Vertreter jeder Organisationseinheit befragt werden, der sich eventuell vorab Feedback aus seinem Team holt.
Risikobewertung
Im nächsten Schritt ging es mit den eingeholten Infos für Mark und mich ans Sortieren der Risiken und ans Rausschmeißen von Doppelungen. Danach war es endlich so weit: wir konnten die identifizierten Risiken in unsere webbasierte Software einspeisen, das GRC-COCKPIT. Hier sind ebenfalls alle Organisationseinheiten und Assets hinterlegt, sodass wir die Risiken bereits damit verknüpfen konnten. Eine Herausforderung war das Formulieren der Risiken. Die KollegInnen benannten teilweise die Risiken als Anforderung, z. B.: „Es muss sichergestellt sein, dass…“. Diese Herangehensweise erschwert allerdings das Verständnis und vor allem auch die Bewertung für die anderen. Ein Hilfsmittel für das Formulieren von Risiken ist, dass man die folgenden Einleitungssätze im Geiste nutzt: „Es besteht die Gefahr, dass…“ oder „Es besteht das Risiko, dass…“.
Konkretes Beispiel:
Gesammeltes Risiko | Formulierungshilfe: Es besteht das Risiko, dass… | Eintrag ins GRC-COCKPIT |
Bilder auf der Webseite: Liegen die entsprechenden Nutzungslizenzen vor? | …eine dritte Partei Ansprüche auf die Lizenzrechte der von uns genutzten Bilder erhebt und uns mit einer Abmahnung belangt. | Risiko: Abmahnung aufgrund fehlerhaft ausgewiesener Bildrechte |
Das konkrete Formulieren ist die Voraussetzung für den darauffolgenden Schritt: die Risikobewertung. Dazu müssen die KollegInnen genau verstehen, welches Risiko hier gemeint ist. Sie sind dann nämlich wieder an der Reihe und müssen anhand der Risiko-Matrix Eintrittswahrscheinlichkeit vs. Schadenshöhe bei Eintritt des Risikos bewerten.
Aber darum soll es dann im Detail in unserem nächsten Blog-Beitrag aus dem Projekt Risiko-Management gehen.
…to be continued:
Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Risiko-Management:
- Risiko-Management Projekte funktionieren nur mit Rückendeckung der Unternehmensleitung
- Risiko-Management sollte nicht auf die lange Bank geschoben werden: lieber früh starten und zu einem späteren Zeitpunkt zusätzliches Personal dazu nehmen
- Mitarbeiter aus allen Organisationseinheiten mit einbeziehen, denn die kennen ihre Arbeitsprozesse, Tools und die damit verbundenen Risiken selbst am besten
- in der Initialphase besteht kein Anspruch auf Perfektion und Vollständigkeit
- „better safe than sorry“ – besser zu Beginn jedes noch so klein erscheinende Risiko aus den Organisationseinheiten sammeln und im Nachgang aussortieren
- bei der endgültigen Erfassung der Risiken ausreichend Zeit darauf verwenden, dass die Formulierung sprechend und eindeutig ist (dabei aber bitte die Verhältnismäßigkeit wahren und nicht in Schönheit sterben…😉)
Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt IT-Sicherheit: Step by step: GRC@SAVISCON | Wie wir unser IT-Sicherheits- Management aufsetzen
Über den Autor:
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de