GRC-Management

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

• Kick-off-Termin: 19. November 2020
• Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
• Risikoidentifizierung und Bewertung: Ende Januar 2021
• Maßnahmen finden und bewerten: Ende März 2021
• Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

• Kick-off-Termin: 19. November 2020
• Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
• Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
• Maßnahmen finden und bewerten: Ende Mai 2021
• Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

• Kick-off-Termin: 19. November 2020
• Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
• Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
• Risikoanalyse und Maßnahmen finden: Ende März 2021
• Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

• Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
• Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.