• Facebook
  • Xing
  • LinkedIn
  • Youtube
  • Mail
  • Blog
  • Presse
  • Kontakt
SAVISCON GmbH
  • SOFTWARE-LÖSUNGEN
    • GRC-COCKPIT
      • Datenschutz-Management Software
      • Hinweisgebersystem
    • BRIEF-ASSISTENT
  • BERATUNG
    • Customer Communication Management
    • Datenschutz-Management-System aufsetzen
    • Externer Datenschutzbeauftragter
    • Consulting-Team
  • UNSERE THEMEN
    • GRC-Management
      • Risiko-Management
      • Compliance-Management
      • Datenschutz-Management
      • IT-Sicherheit
        • Schutzbedarfsanalyse
    • Enterprise Content Management
      • Customer Communication Management
      • Dokumentenmanagement
  • SERVICE
    • Whitepaper
    • Webinare
      • Live | 4. April 2023: Digitales Hinweisgebersystem (HinSchG)
      • Live | 11. April 2023: Lieferkettensorgfaltspflichtengesetz (LkSG)
      • On-Demand: IT-Grundschutz (BSI | Recplast GmbH)
      • On-Demand: Digitales Hinweisgebersystem
      • On-Demand: Lieferkettengesetz digital umsetzen
    • Newsletter
  • ÜBER UNS
    • Über SAVISCON
    • SAVISCON-Team
    • Code of Conduct
    • Unsere Partner
    • Referenzen
    • Jobs
  • Kostenfreie Erstberatung
  • Menü Menü
MockUp GRC-COCKPIT auf verschiedenen DevicesSAVISCON GmbH

Wie funktioniert ein Personalwechsel im Risiko-Management?

Juni 3, 2022/in GRC@SAVISCON, Risiko-Management/von Marcel Steur

Wissenstransfer & gemeinsames Verständnis aufbauen

Von Marcel Steur, Consultant Risiko-Management & GRC der SAVISCON GmbH

Vielleicht ist es Ihnen schon aufgefallen: Es gab im SAVISCON-Blog lange keinen Beitrag mehr zum Thema Risiko-Management. Das hat auch einen Grund, denn unser Mitarbeiter, der bisher das Risiko-Management verantwortet hat – Uwe Straßberger – ist im März 2022 in den Ruhestand gegangen. Doch seit April ergänze ich, Marcel Steur (Consultant Risiko-Management & GRC), das SAVISCON-Team und blogge zukünftig über alle Themen rund um das Risiko-Management. Qua akademischer Ausbildung bin ich Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Die Kontaktbereiche mit dem Risiko-Management waren bisher quantitativer Natur, also mathematisch- und zahlengetrieben. Mein Wirkungsbereich begann also, wenn Risiken bereits identifiziert, als relevant definiert und beschrieben wurden. Meine akademischen Schwerpunkte waren das Schließen einer Risikobewertung aus Rohdaten und die Risikoaggregation aus Einzelrisiken mit verschiedenen Kennzahlen.

Orientierungsphase: Mein Start ins SAVISCON-Risiko-Management

Mit dem aktuellen Wachstum der SAVISCON GmbH verändern sich auch die Abteilungen, interne Strukturen, das Personal wird umgeplant und Zuständigkeiten verlagern sich. Zu Beginn meiner Tätigkeit habe ich an einer Schulung teilgenommen, in der ich das vollständige Risiko-Management, den bundesweiten Stand, die typischen Prozesse und die Umsetzungsmethoden durchlaufen habe. Mit diesen Informationen habe ich mir das interne Risiko-Management, insbesondere die Risiken, den Risiko-Management-Leitfaden und die internen Bereiche und deren Zuständigkeiten angesehen und mich in diese Strukturen eingearbeitet. Mit dem Überblick der internen Strukturen mussten einige Fragen über meinen geplanten Zuständigkeitsbereich geklärt werden, damit zum einen kein Teilbereich ohne Zuständigkeit verbleibt und zum anderen kein Teilbereich mit doppelter Zuständigkeit geplant wird.

Definitionsphase: Gemeinsame Definition von „Risiko“

Beim Einsehen der Risiken stellte ich verschiedene Arten des Anlegens von Risiken fest. Dies resultierte aus jahrelangem Anlegen von Risiken durch unterschiedliche Zuständige mit jeweils anderer Sicht- und Denkweise. Ich musste „das Risiko“ also für mich klar erfassen und definieren. Grundsätzlich beschreibt das Risiko eine Wahrscheinlichkeit in einer kausalen Kette, es steht also zwischen Ursache und Wirkung. Diese kausale Kette beginnt mit einer Ursache, die sich wahrscheinlich realisieren könnte, eine negative Auswirkung auf vorhandene Prozesse hat und damit ein Unternehmensziel gefährdet oder verhindert.
Als Beispiel hätte ein veralteter Fuhrpark (Ursache) eine nicht zu vernachlässigende Wahrscheinlichkeit, dass eines der Fahrzeuge ausfällt (Risiko) und der das Fahrzeug nutzende Mitarbeiter nicht rechtzeitig zu einem Kundentermin kommt (Auswirkung). Damit wäre das Unternehmensziel „hohe Kundenzufriedenheit erreichen“ gefährdet.
Laut dieser klaren Definition war es mir möglich zu erkennen, dass in einigen der internen Risiken nicht genau das Risiko von der Ursache oder die Auswirkung vom Risiko getrennt eingetragen war.

Hier drei Beispiele für unklare Eintragungen:

  • Der Ausbruch einer neuen COVID-Variante ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Ursache, dessen Risiko die mögliche Erkrankung eines Mitarbeiters wäre, was zum Ausfall eines Mitarbeiters führen könnte.
  • Die Handlungsunfähigkeit aller Mitarbeiter wegen IT-Problemen ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Auswirkung, dessen zugehöriges Risiko der Ausfall des Unternehmensservers ist, der sich aus der Ursache von schädlichen IT-Fremdeinwirkungen ergibt.
  • Das Unterschreiten des geplanten Umsatzwachstums von 10 % ist ein Risiko für das Unternehmen – Hier handelt es sich um das Nichterreichen eines Unternehmensziels, das durch Auswirkungen gefährdet oder verhindert werden könnte. Hierbei kann es jedoch viele Auswirkungen geben, die sich aus unterschiedlichsten Risiken realisieren können, die sich aus verschiedensten Ursachen ergeben könnten.

Des Weiteren waren die eingetragenen Risiken in dreistelliger Anzahl für einen zentralen Risiko-Manager nicht mehr leicht zu überblicken. Dafür sollte ein Kategorisierungs-Konzept für die internen Risiken entwickelt und eingeführt werden. Die Möglichkeiten von Risiko-Kategorisierungen sind jedoch immens. Aus verschiedenen Risiko-Management-Fachbüchern folgen unzählige Risikoarten und Risikokategorien. Mit meinem ganzheitlichen Ansatz, alle möglichen Risiken zu identifizieren und daraus dann eine Beurteilung der Risikorelevanz ableiten zu können, bin ich sehr schnell an meine Grenzen gestoßen. Als vorerst klüger erwies es sich, Risikokategorien aus der aktuellen Unternehmensrealität zu definieren.
Beispielsweise könnten sich die Risikokategorien aus den Vermögengegenständen, den wichtigen Mitarbeitern, den Gefährdungen von Unternehmenszielen oder Gründe für negative Prozessveränderungen in der Vergangenheit ableiten. Diese primären Risikokategorien können auch im Rahmen von Workshops oder Brainstormings gebildet werden.
Um schnell den ersten Schritt gehen zu können, wurden die Risiken der SAVISCON vorerst nach den vier internen Zuständigkeitsbereichen Compliance, IT-Sicherheit, Projekte und Operatives Risiko-Management kategorisiert. Die identifizierten, kategorisierten und damit überschaubaren Risiken haben nun ihre erste Zuordnung erhalten.

Die nächsten Schritte: Anpassen des Risiko-Management-Leitfadens

Im nächsten Schritt wird es um den Risiko-Management-Leitfaden gehen, der nach der starken Wachstumsphase der SAVISCON GmbH, an Komplexität zunehmen wird. Aktuell abgestimmt wird die Einführung eines siebenstufigen Regelkreises aus Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation (Brutto), Risikosteuerung, Risikoaggregation (Netto) und Risikoüberwachung und auf die Anpassung auf die verschiedenen Zuständigkeiten. Diesen umfangreichen Prozess der Operationalisierung mit allen Kennzahlen und Details werde ich im nächsten Blogbeitrag darlegen, wenn wir den Prozess abgeschlossen haben.

Über den Autor

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

https://saviscon.de/wp-content/uploads/Mock-Up-GRC-COCKPIT.png 1333 2000 Marcel Steur https://saviscon.de/wp-content/uploads/2020/05/saviscon-logo-300x125.jpg Marcel Steur2022-06-03 08:52:192022-07-29 09:38:40Wie funktioniert ein Personalwechsel im Risiko-Management?
Das könnte Dich auch interessieren
Sinnbild Ordner mit vielen Dokumenten 3 Tipps für Ihre Informationssicherheits-Leitlinie
Sinnbild: Mann im Anzug zeigt auf Schrift "Audit" Wie läuft eine Zertifizierung nach ISO 27001 ab?
Foto Uwe StraßbergerElfriede Liebenow No Risk – More Fun! GRC@SAVISCON
Sinnbild mit Geschenken für die Compliance-Falle Geschenke und EinladungenFoto von Laura James von Pexels Was bedeutet Know Your Customer (KYC)?
Geschäftsführer Ingo Simon und Team im SAVISCON BüroElfriede Liebenow Practice what you preach 2.0
Sinnbild mit Geschenken für die Compliance-Falle Geschenke und EinladungenFoto von Laura James von Pexels Compliance-Falle: Geschenke und Einladungen

Kommentieren:

Termin bei Christoph Müller vereinbaren
SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt

Nach oben scrollen
  • Termin buchen
  • Kontakt aufnehmen
  • Newsletter abonnieren
  • Downloads
Ihre Cookie Einstellungen
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Mit einem Klick auf „Zustimmen“ akzeptieren Sie alle Cookies und somit die Verarbeitung und auch die Weitergabe Ihrer anonymisierten Daten an Drittanbieter. Wir nutzen Statistik-Daten, um redaktionelle Inhalte an die Vorlieben unserer Webseitenbesucher anzupassen und ihnen interessante Inhalte zu bieten.

Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie unter Einstellungen. Ihre Entscheidung können Sie jederzeit über den Link in unserer Datenschutzerklärung anpassen. Klicken Sie auf ablehnen, um alle Cookies (bis auf die technisch notwendigen) abzulehnen.
Verwalten Sie Ihre Cookie Einstellungen

Um Ihnen ein optimales Webseiten-Erlebnis zu bieten, setzen wir Cookies ein. Das sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Dazu zählen sowohl Cookies für den Betrieb und die Optimierung der Seite als auch für Services, wie z.B. die Anzeige von Aktienkursen oder Google Maps sowie an Ihrem Online-Nutzungsverhalten orientierte Inhalte. So kann z.B. erkannt werden, wenn Sie unsere Seite vom selben Gerät aus wiederholt besuchen. Wir möchten Ihnen die Wahl geben, welche Cookies Sie zulassen.

Erforderliche Cookies

Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

Analytische Cookies

Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.

Mehr erfahren Weniger erfahren
Zurück
Impressum Datenschutz