Kategorie: GRC-Management

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zum GRC-Management.

Risk-Update 2024: IT-Risiken

Das ist 2024 wichtig: NIS2, DORA, BCM und KI

In 2023 nannte der Allianz Risk-Report 2023 Cybervorfälle zusammen mit Betriebsunterbrechungen als Top-Risiko. Die Studien für 2024 sind noch nicht geschrieben oder veröffentlicht, aber man darf davon ausgehen, dass sich IT-getriebene Risiken im Jahr 2024 weiter in Spitzenpositionen halten werden. Wir werden uns in diesem Artikel auf diese IT-Risiken beschränken.

Cyberangriffe

Es gibt eine erhöhte Bedrohungslage durch Cyberangriffe mit möglichen massiven Auswirkungen –nicht nur auf Unternehmen, sondern in der Folge auch auf die Bevölkerung. Der Ernst der Lage wird daran sichtbar, dass die Gesetzgebung mit regulatorischen Maßnahmen diesbezüglich nicht spart:

  • Die neue NIS2 Direktive (EU 2022/2555) „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ ersetzt die NIS-Richtlinie aus 2016. Betroffen sind hier Unternehmen aus den sogenannten „Essential Entities“, aufgeteilt in elf Sektoren, z. B. Bankwesen, Trinkwasser und Digitale Infrastruktur, sowie aus „Important Entities“ mit sieben Sektoren, z. B. Post und Kurier, Lebensmittel und Digitale Dienste. Für alle diese Entities und Sektoren werden Mindestanforderungen definiert, die einzuhalten sind. Non-Compliance ist mit hohen Sanktionen belegt. Die Direktive wird in Deutschland in ein neues IT-Sicherheitsgesetz münden: das NIS2 Umsetzungsgesetz. Das Inkrafttreten ist für Oktober 2024 angesetzt.

  • Für die Finanzindustrie wird noch eines obendrauf gesetzt: DORA (Digital Operational Resilience Act) ist die Verordnung (EU 2022/2554) über die digitale, operationale Resilienz im Finanzsektor. Auch hier werden hohe Anforderungen an IT-Sicherheit, aber auch an Testverfahren und operative IT-Prozesse normiert und Non-Compliance empfindlich sanktioniert. Die BaFin ist als Aufsichtsbehörde involviert und die Richtlinie soll ab 17.01.2025 Anwendung finden.

In beiden Normen steht auch das IT-bezogene Risiko-Management im Fokus. Es gilt, seine IT-Risiken zu kennen und zu managen. Das gilt sowohl für Angriffsvektoren in Bezug auf Infrastruktur mit Exposition ins Internet als auch für Partner und IKT-Dienstleister, die Dienste für das Unternehmen übernehmen, sowie auch für interne Risiken durch menschliche Schwachstellen.

Übrigens: Der Mensch ist eine der größten Schwachstellen. Eine der häufigsten Formen von Cyberangriffen ist Ransomware, mit denen Unternehmensdaten verschlüsselt und die Wiederfreigabe der Daten mittels Zahlungen erpresst werden. Solche Fälle legen Organisationen über Wochen lahm und sind in den letzten Monaten gehäuft in den Nachrichten. Rund zwei Drittel der Ransomware-Angriffe haben als Ursache, dass E-Mail-Anhänge oder Links zu Webseiten durch unachtsame Mitarbeitende in eingehenden Mails angeklickt werden. Eine geringe Investition in die Sensibilisierung der Mitarbeitenden hat daher eine hohe positive Auswirkung auf das Risikoportfolio. Es muss also nicht immer nur eine technische Lösung sein, die hilft.

NIS2 Whitepaper herunterladen

Betriebsunterbrechungen und Ausfälle durch IT-Fehler

Aber nicht nur Cyberbedrohungen von außen führen zu IT-bezogenen Risiken. Selbst wenn keine Bedrohung vorherrschen würde, bringt die zunehmende Digitalisierung über alle Geschäftsprozesse von Unternehmen weitere Risiken ins Spiel. Der Ausfall zentraler Infrastruktur oder Anwendungen durch Fehlbedienung, nachlässiges oder fehlerhaftes Change-Management in den IT-Betriebsabteilungen kann erhebliches Gefährdungspotenzial für das Überleben der Unternehmen mit sich bringen. Umso wichtiger ist es, bei einem eingetretenen Risiko einen Notfallplan an der Hand zu haben. Das Bundesamt für Sicherheit in der Informationstechnik lieferte dazu in diesem Jahr den neuen Standard 200-4 für das Business Continuity Management, kurz BCM. Dies ist (außer für KRITIS Unternehmen) zwar keine Norm im Sinne einer notwendigen Einhaltung zur Vermeidung von Sanktionen, aber dennoch sollten Unternehmen und Organisationen schon aus Selbstschutz eine gesteigerte Motivation haben, in diese Richtung aktiv zu werden.

Künstliche Intelligenz

Das dritte und vielleicht aktuellste Thema kommt aus dem kometenhaften Aufstieg der künstlichen Intelligenz (KI), der sich aus dem ChatGPT Hype als Katalysator ergeben hat. Auch im Bereich KI-Compliance ist der Gesetzgeber, in diesem Falle das Europäische Parlament, im Aufbruch, eine KI-Gesetzgebung zu schaffen, die sicherstellt, „dass die in der EU eingesetzten KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.“

Daraus ergeben sich wiederum neue Risiken. Zum einen die Risiken durch den Einsatz von KI generell, also z. B. durch fehlerhafte KI-Ergebnisse falsche Entscheidungen zu treffen. Aber für die Unternehmen, die KI schon sehr früh einsetzen, ergibt sich auch ein Risiko, dass die kommende Gesetzgebung den schon implementierten Einsatz einschränkt und die Unternehmen zwingt, die bereits getätigten Investitionen durch weitere, nun notwendig werdende Modifikationen compliant zu machen. Hier empfiehlt es sich, den Gesetzgebungsverlauf genau zu beobachten und frühzeitig derartige Entwicklungen zu antizipieren.

Fazit:

Bei den IT-Risiken ist es nicht ausreichend, nur mögliche Cyberbedrohungen zu betrachten. Sondern es muss genauso auf die internen IT-Prozesse und die sich daraus ergebenden Risiken geschaut werden. Das neue KI-Feld wird ebenfalls im Jahr 2024 eine zunehmend große Rolle in der Risikobetrachtung der Unternehmen spielen, die diese einsetzen wollen.

Mit der aktuellen und kommenden Gesetzgebung wird IT-Sicherheit immer mehr auch ein Compliance-Themenfeld, womit sich eben auch Compliance-Risiken ergeben. Unternehmen und Organisationen sollten sich daher mit dem Thema IT-Sicherheit, Business Continuity und den dafür relevanten Gesetzestexten auseinandersetzen. Die Einführung eines Informationssicherheits-Management-Systems ist auf jeden Fall ein Schritt in die richtige Richtung. Auch wenn eine Zertifizierung nach gängigen Standards wie ISO 27001 oder IT-Grundschutz nicht Ziel einer Organisation ist, so geben diese Standards doch sehr viel Informationen an die Hand, wie man hier die Abläufe verbessern kann, um compliant zu werden.

Mit unserer Software, dem SAVISCON GRC-COCKPIT, bieten wir Organisationen jeglicher Größe ein effizientes Handwerkszeug, um ihr ISMS strukturiert abzubilden und effizient zu betreiben.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

5 Tipps für Ihr GRC-Management

Governance-, Risk- und Compliance-Management: Basis für gute Unternehmensführung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Leitungsorgane eines Unternehmens (Governance) haben unter anderem die Aufgabe, die Risiken auf ein Minimum zu reduzieren (Risiko-Management) als auch sicherzustellen, dass das Unternehmen und dessen Mitarbeiter alle relevanten Anforderungen und Regularien aus Gesetzen, Normen und internen Vorgaben Folge leistet (Compliance-Management). Dabei spielen auch die Informationssicherheit und der Datenschutz eine große Rolle, da sie gleichermaßen in das Risiko- und Compliance-Management greifen.

Diese Themen erstrecken sich dabei außerdem auf sämtliche Tätigkeiten von Unternehmen, denn es gibt Vorgaben in allen Bereichen: Finanzen, Personalwesen, Einkauf, Krankenpflege, Umweltschutz, Vertrieb, Logistik usw. Alle Fachbereiche müssen sicherstellen, dass sie alle bestehenden Vorgaben einhalten. Und ebenso müssen alle Bereiche sich um ihre Risiken kümmern, damit sie die Gesamtorganisation nicht gefährden. Der Zustand der Compliance- und Risiko-Managementsysteme muss den Leitungsorganen jederzeit transparent sein.

Als Handlungsgrundlage für gute und verantwortungsvolle Unternehmensführung und -kontrolle können Unternehmen den Deutschen Corporate Governance Kodex (DCGK) zugrunde legen. Wir haben für Sie 5 Tipps für verantwortungsvolles Handeln zusammengestellt:

Tipp 1: Selbstverpflichtung ernst nehmen

Eine zentrale Botschaft des Deutschen Corporate Governance Kodex ist die Selbstverpflichtung. Also: Verpflichten Sie sich selbst dazu, die Anforderungen aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), dem Transparenz- und Publizitätsgesetzes (TransPuG) sowie dem DCGK zu erfüllen.

Tipp 2: Aufsicht und Geschäftsführung strikt trennen

Eine der wesentlichen Anforderungen, nämlich auf Ebene der Rechtsträger (Geschäftsführung) eine angemessene und wirksame Aufsichtsstruktur zur Kontrolle der operativen Organe zu installieren, geschieht am besten durch die Einrichtung entsprechender Organe (Aufsichtsrat, Verwaltungsrat, Beirat). Dabei hat das Aufsichtsorgan, die Aufgabe dafür zu sorgen, dass die Geschäftsführung/Vorstand dies auch tun.

Unternehmen sollten formalisierte, personenunabhängige Verfahren, wie z. B. die Trennung von Aufsicht und Geschäftsführung, eine umfassende Wirtschaftsprüfung sowie Transparenz nach außen nutzen, um Fehlentwicklungen frühzeitig zu erkennen und diese durch geeignete Maßnahmen möglichst zu vermeiden. Instrumente für eine gute, verantwortungsvolle und wirtschaftliche Unternehmensführung sind laut DCGK für die Bereiche Controlling, Qualitätsmanagement, Leitung, Aufsicht und das Risiko-Management zu entwickeln und anzuwenden. Außerdem sollte ein entsprechendes Berichtswesen etabliert werden.

Tipp 3: Governance, Risk & Compliance gehören zusammen

Immer noch werden Risiko-Management und Compliance-Management in vielen Unternehmen separat voneinander betrachtet. Dabei ergibt es Sinn die Interdependenzen zu nutzen und so die internen Abläufe effizienter zu gestalten. Das spart Zeit, Geld und Nerven. Das ist der Kern des GRC-Managements: Beim GRC-Management werden die drei Bereiche Governance (G), Risk (R) und Compliance (C) in einem System zusammengefasst. Durch die gemeinsame Betrachtung können Sie die Effizienz und Transparenz Ihrer Prozesse steigern.

Tipp 4: GRC-Management als Chance

Sehen Sie das GRC-Management nicht als ein notwendiges Übel, sondern als Chance zur besseren und nachhaltigen Unternehmensführung. Mit einem strukturierten und digitalisierten GRC-Management-System sind Sie der Zeit einen Schritt voraus. Das kann für Sie auch rechtlich und somit finanziell gesehen einen großen Vorteil bedeuten. Denn es werden zunehmend drastischere Sanktionen verhängt. Bußgelder werden immer höher und sind zuweilen sogar existenzgefährdend. Organ-Mitglieder und leitende Angestellte haften häufiger persönlich, auch hier drohen Bußgelder oder sogar Berufsverbote.

Außerdem legen neuere Gesetze auch den Schwerpunkt auf die Nachhaltigkeit, so zum Beispiel das Lieferkettengesetz. Diese Gesetze können dazu frühen, dass, neben Sanktionen, auch tatsächliche Umsatzausfälle eintreten können, wenn den Anforderungen nicht gerecht wird. Denn wird man dem Lieferkettengesetz nicht gerecht kann es sein, dass Auftraggeber einen aus der Lieferantenliste streichen.

Tipp 5: Digitalisieren Sie Ihr GRC-Management

Alle Informationen zum GRC-Management gehören zusammen. Excel, E-Mail und Co. sind nicht mehr als digitale Zettelwirtschaft. Arbeiten Sie besser mit einer Software, die alle notwendigen Anforderungen, Risiken und Maßnahmen an einer zentralen Stelle mit den dazugehörigen Dokumenten speichert und verknüpft. Da in Unternehmen die ineinandergreifenden Prozesse zu immer höheren Anforderungen aus Gesetzen, Normen, Standards und Verträgen führen, empfiehlt sich die Implementierung eines umfassenden und nachhaltigen GRC-Managements.

Aufgrund der Komplexität des GRC-Managements und den daraus entstehenden großen Datenmengen, ergibt es Sinn, die Bearbeitung frühestmöglich mithilfe einer Software durchzuführen. Durch die konsequente digitale Zuweisung von Vorgängen und Abläufen mittels einer strukturellen Software arbeiten alle Mitarbeiter in einem System. „Medienbrüche“ werden durch die komplette Dokumentation aller Vorgänge ausgeschlossen und somit die Revisionssicherheit gewährleistet. Ein umfangreiches Reporting auf Knopfdruck vereinfacht Audits und Prüfungen, wie z. B. bei der Zertifizierung nach ISO 27001. Wir von der SAVISCON GmbH bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann: Alle Management-Systeme gebündelt an einem Ort. Jetzt mehr zum GRC-COCKPIT erfahren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Practice what you preach: GRC@SAVISCON

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

  1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
  2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
  3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Risikoidentifizierung und Bewertung: Ende Januar 2021
  • Maßnahmen finden und bewerten: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
  • Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
  • Maßnahmen finden und bewerten: Ende Mai 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
  • Risikoanalyse und Maßnahmen finden: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

  • Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
  • Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.