Kategorie: GRC-Management

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zum GRC-Management.

5 Tipps für Ihr GRC-Management

/in , /von

Governance-, Risk- und Compliance-Management: Basis für gute Unternehmensführung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Leitungsorgane eines Unternehmens (Governance) haben unter anderem die Aufgabe, die Risiken auf ein Minimum zu reduzieren (Risiko-Management) als auch sicherzustellen, dass das Unternehmen und dessen Mitarbeiter alle relevanten Anforderungen und Regularien aus Gesetzen, Normen und internen Vorgaben Folge leistet (Compliance-Management). Dabei spielen auch die Informationssicherheit und der Datenschutz eine große Rolle, da sie gleichermaßen in das Risiko- und Compliance-Management greifen.

Diese Themen erstrecken sich dabei außerdem auf sämtliche Tätigkeiten von Unternehmen, denn es gibt Vorgaben in allen Bereichen: Finanzen, Personalwesen, Einkauf, Krankenpflege, Umweltschutz, Vertrieb, Logistik usw. Alle Fachbereiche müssen sicherstellen, dass sie alle bestehenden Vorgaben einhalten. Und ebenso müssen alle Bereiche sich um ihre Risiken kümmern, damit sie die Gesamtorganisation nicht gefährden. Der Zustand der Compliance- und Risiko-Managementsysteme muss den Leitungsorganen jederzeit transparent sein.

Als Handlungsgrundlage für gute und verantwortungsvolle Unternehmensführung und -kontrolle können Unternehmen den Deutschen Corporate Governance Kodex (DCGK) zugrunde legen. Wir haben für Sie 5 Tipps für verantwortungsvolles Handeln zusammengestellt:

Tipp 1: Selbstverpflichtung ernst nehmen

Eine zentrale Botschaft des Deutschen Corporate Governance Kodex ist die Selbstverpflichtung. Also: Verpflichten Sie sich selbst dazu, die Anforderungen aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), dem Transparenz- und Publizitätsgesetzes (TransPuG) sowie dem DCGK zu erfüllen.

Tipp 2: Aufsicht und Geschäftsführung strikt trennen

Eine der wesentlichen Anforderungen, nämlich auf Ebene der Rechtsträger (Geschäftsführung) eine angemessene und wirksame Aufsichtsstruktur zur Kontrolle der operativen Organe zu installieren, geschieht am besten durch die Einrichtung entsprechender Organe (Aufsichtsrat, Verwaltungsrat, Beirat). Dabei hat das Aufsichtsorgan, die Aufgabe dafür zu sorgen, dass die Geschäftsführung/Vorstand dies auch tun.

Unternehmen sollten formalisierte, personenunabhängige Verfahren, wie z. B. die Trennung von Aufsicht und Geschäftsführung, eine umfassende Wirtschaftsprüfung sowie Transparenz nach außen nutzen, um Fehlentwicklungen frühzeitig zu erkennen und diese durch geeignete Maßnahmen möglichst zu vermeiden. Instrumente für eine gute, verantwortungsvolle und wirtschaftliche Unternehmensführung sind laut DCGK für die Bereiche Controlling, Qualitätsmanagement, Leitung, Aufsicht und das Risiko-Management zu entwickeln und anzuwenden. Außerdem sollte ein entsprechendes Berichtswesen etabliert werden.

Tipp 3: Governance, Risk & Compliance gehören zusammen

Immer noch werden Risiko-Management und Compliance-Management in vielen Unternehmen separat voneinander betrachtet. Dabei ergibt es Sinn die Interdependenzen zu nutzen und so die internen Abläufe effizienter zu gestalten. Das spart Zeit, Geld und Nerven. Das ist der Kern des GRC-Managements: Beim GRC-Management werden die drei Bereiche Governance (G), Risk (R) und Compliance (C) in einem System zusammengefasst. Durch die gemeinsame Betrachtung können Sie die Effizienz und Transparenz Ihrer Prozesse steigern.

Tipp 4: GRC-Management als Chance

Sehen Sie das GRC-Management nicht als ein notwendiges Übel, sondern als Chance zur besseren und nachhaltigen Unternehmensführung. Mit einem strukturierten und digitalisierten GRC-Management-System sind Sie der Zeit einen Schritt voraus. Das kann für Sie auch rechtlich und somit finanziell gesehen einen großen Vorteil bedeuten. Denn es werden zunehmend drastischere Sanktionen verhängt. Bußgelder werden immer höher und sind zuweilen sogar existenzgefährdend. Organ-Mitglieder und leitende Angestellte haften häufiger persönlich, auch hier drohen Bußgelder oder sogar Berufsverbote.

Außerdem legen neuere Gesetze auch den Schwerpunkt auf die Nachhaltigkeit, so zum Beispiel das Lieferkettengesetz. Diese Gesetze können dazu frühen, dass, neben Sanktionen, auch tatsächliche Umsatzausfälle eintreten können, wenn den Anforderungen nicht gerecht wird. Denn wird man dem Lieferkettengesetz nicht gerecht kann es sein, dass Auftraggeber einen aus der Lieferantenliste streichen.

Tipp 5: Digitalisieren Sie Ihr GRC-Management

Alle Informationen zum GRC-Management gehören zusammen. Excel, E-Mail und Co. sind nicht mehr als digitale Zettelwirtschaft. Arbeiten Sie besser mit einer Software, die alle notwendigen Anforderungen, Risiken und Maßnahmen an einer zentralen Stelle mit den dazugehörigen Dokumenten speichert und verknüpft. Da in Unternehmen die ineinandergreifenden Prozesse zu immer höheren Anforderungen aus Gesetzen, Normen, Standards und Verträgen führen, empfiehlt sich die Implementierung eines umfassenden und nachhaltigen GRC-Managements.

Aufgrund der Komplexität des GRC-Managements und den daraus entstehenden großen Datenmengen, ergibt es Sinn, die Bearbeitung frühestmöglich mithilfe einer Software durchzuführen. Durch die konsequente digitale Zuweisung von Vorgängen und Abläufen mittels einer strukturellen Software arbeiten alle Mitarbeiter in einem System. „Medienbrüche“ werden durch die komplette Dokumentation aller Vorgänge ausgeschlossen und somit die Revisionssicherheit gewährleistet. Ein umfangreiches Reporting auf Knopfdruck vereinfacht Audits und Prüfungen, wie z. B. bei der Zertifizierung nach ISO 27001. Wir von der SAVISCON GmbH bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann: Alle Management-Systeme gebündelt an einem Ort. Jetzt mehr zum GRC-COCKPIT erfahren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Practice what you preach: GRC@SAVISCON

/in , /von

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

  1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
  2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
  3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Risikoidentifizierung und Bewertung: Ende Januar 2021
  • Maßnahmen finden und bewerten: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
  • Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
  • Maßnahmen finden und bewerten: Ende Mai 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
  • Risikoanalyse und Maßnahmen finden: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

  • Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
  • Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.

SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt