Kategorie: Risiko-Management

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zur Risiko-Management.

Aufsetzen eines funktionierenden Risiko-Management-Prozesses

/in , /von

Das müssen Sie vor dem Start beachten

Von Marcel Steur, Consultant Risiko-Management & GRC bei der SAVISCON GmbH

Was bisher geschah…

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Bei diesem Prozess nehmen wir die Leser unseres Blogs mit und berichten hier aus unserem Arbeitsalltag, welchen Fallstricken wir beim Umsetzen begegnen und wie wir sie meistern. Heute geht es in unserem Beitrag wieder um das Thema Risiko-Management.

Das Risiko-Management der SAVISCON GmbH hat einen Personalwechsel erfahren (siehe mein letzter Blog-Beitrag: Wie funktioniert ein Personalwechsel im Risiko-Management?) und im Zuge dessen auch interne Änderungen des gemeinsamen Risikoverständnisses und Neuerungen in Bezug auf den internen Risiko-Management Prozess. Nach mehreren Jahren des stetigen Wachstums galt es im Risiko-Management eine höhere Komplexität abzubilden, mehr Bereiche des Unternehmens zu analysieren und auch mehr Mitarbeiter und Arbeitsgruppen zu berücksichtigen. Als letzter Schritt wurde die Komplexität des Risiko-Management-Prozesses selbst erhöht und die internen Abläufe nach Vorbild der DIN ISO 31000:2018 geplant und eingeführt.

Anpassung der Komplexität unserer Organisationsstruktur

Laut bundesweitem Standard würde ein Unternehmen in der Größe der SAVISCON von einem zentralen Risikomanager organisiert werden, der alle Risiko-Management-Ebenen abdeckt. Aufgrund der fachlichen Breite im Bereich der Beratung, des Umfangs der Projektarbeit und der hohen Spezialisierung der Mitarbeiter, haben wir intern eine Organisationsstruktur mit fünf Hauptbereichen definiert: Compliance, IT, Projekte, Operatives Risiko-Management, Strategisches Risiko-Management.

Die spezifischen Bereiche Compliance-Risiken, IT-Risiken und Projekt-Risiken werden von unseren internen Fach-Consultants analysiert und gesteuert. Das Operative Risiko-Management umfasst die ursprünglich zentrale Instanz des Risiko-Managements, die alle Fachbereiche intern berät, den Risiko-Management-Prozess durchführt und die Gesamtanalyse der Risikosituation erstellt und auswertet. Das Strategische Risiko-Management wird von der Geschäftsführung verantwortet, in dieser führenden Instanz werden die Richtlinien für das Risiko-Management allgemein definiert und die strategischen Risiken analysiert.

Definition eines konsistenten Wordings

Um unternehmensweit die gleichen Begriffe verwenden zu können, müssen diese vor Einführung des neuen Risiko-Management-Prozesses definiert werden. Wir haben die Bedeutungen von Einzelrisiko, Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation, Risikosteuerung, Risikoüberwachung und Risikoeigentümer zuerst festgelegt:

  • Das Einzelrisiko zeigt eine wahrscheinliche, negative Planabweichung an. Lediglich wenn diese negative Planabweichung ausgeschlossen ist (Wahrscheinlichkeit null), dann existiert kein Einzelrisiko bzw. Risiko. Ein Risiko folgt aus einer Ursache (Gefahr) und heißt Auswirkung, sobald sich das Risiko realisiert und negative Planabweichungen festgestellt werden können.
  • Die Risikoidentifikation dient dazu Einzelrisiken im Unternehmen systematisch erkennen zu können. Dabei werden in jedem Fachbereich alle Risiken erkannt, die eine Eintrittswahrscheinlichkeit größer null haben.
  • Die Risikorelevanz ist eine Kategorisierung der Wichtigkeit. Hier wird entschieden, ob ein Risiko im subjektiven Unternehmenssinne Beachtung erfahren soll oder ob es, wegen „schwacher“ Auswirkungen, akzeptiert werden kann. Beim Akzeptieren eines Risikos würde keine Risikosteuerung erfolgen.
  • Die Risikobewertung ist eine Angabe eines monetären Schadenswerts. Diese Risikobewertung resultiert bei einem quantitativen Risiko (Datenbasis vorhanden, z. B. Bußgelder) sofort in einer schnell zu bezifferbaren maximalen Schadenshöhe. Bei einem qualitativem Risiko (keine Datenbasis vorhanden, z. B. Reputationsschäden) folgt primär eine genaue qualitative Beschreibung des wahrscheinlichen Schadensbereichs und sekundär eine möglichst genaue Schätzung der maximalen Schadenshöhe.
  • Die Risikoaggregation ist eine Zusammenfassung aller Einzelrisiken zu einer monetären Kennzahl (Value at Risk oder Expected Shortfall). Bei der Berechnung dieser Kennzahl werden jedoch mathematisch die Abhängigkeiten von Einzelrisiko-Paaren benötigt und für diese Kennzahl berücksichtigt. Es resultieren eine Kennzahl für die Bruttorisiken und eine Kennzahl für die Netto-Risiken.
  • Die Risikosteuerung bezeichnet das Planen von Maßnahmen, um das Einzelrisiko entweder in der Auftrittswahrscheinlichkeit zu reduzieren oder den maximalen Schaden zu senken. Sobald ein Risiko gesteuert wird erhält das Risiko eine zusätzliche Nettobewertung, die geringer sein sollte als die bisher bestimmte Bruttobewertung. Die Risikosteuerungsarten Risikovermeidung, Risikoreduktion, Risikotransfer und Risikoakzeptanz werden unterschieden.
  • Die Risikoüberwachung sorgt im engeren Sinne für die Überwachung der Risiken, das Aktualisieren von Risikorelevanz, Eintrittswahrscheinlichkeit und Schadenshöhe. Und im weiteren Sinne für die Überwachung von Maßnahmen, das Prüfen der aktiven Durchführung einer Maßnahme und die Prüfung der Wirksamkeit einer Maßnahme.
  • Der Risikoeigentümer besitzt über den vom Risiko betroffenen Prozess die Fachkenntnis und ist verantwortlich für diesen Prozess. Damit ist der Risikoeigentümer vom Risiko am meisten bedroht. Der in der Risiko-Management-Literatur zumeist genannte Risikoeigner (Risk Owner) ist eine Person, der die Verantwortung und Rechenschaftspflicht über einen Prozess und deren Risiken zugeordnet ist. Der Risikoeigner ist nicht am stärksten vom Risiko betroffen, trägt aber die Verantwortung.

 

Orientierung an der DIN ISO 31000:2018

Die Risiko-Management DIN ISO 31000 hat in der Überarbeitung von 2018 acht Prinzipien, die im Risiko-Management gelten sollten. Das Risiko-Management soll

  • integriert sein, also von allen Instanzen des Unternehmens geprägt oder angenommen werden.
  • strukturiert und umfassend sein, also für alle Bereiche des Unternehmens geplant sein.
  • maßgeschneidert sein, also genau an die jeweilige Komplexität des Unternehmens angepasst sein.
  • einbeziehend sein, also Arbeitsgewohnheiten, Arbeitsumfelder und alle Mitarbeiter berücksichtigen.
  • dynamisch sein, also Zeitpunkte für Ideenrunden für Prozessverbesserungen mit einplanen.
  • beste verfügbare Informationen nutzen, also regelmäßig neue Erkenntnisse anfragen und umsetzen.
  • menschliche und kulturelle Faktoren betrachten, also Mitarbeiter-Situationsspezifika mit analysieren.
  • fortlaufend Verbesserung erfahren, also regemäßig Verbesserungsideen anfragen und umsetzen.

Diese Prinzipien haben uns geleitet den Risiko-Management-Prozess noch mal neu zu denken und weiter abzuändern.

Aktualisierung unseres Risiko-Management-Prozesses

Zum ganzheitlichen und systematischen Abdecken und Analysieren aller Risiken der SAVISCON wurde der Risiko-Management-Prozess unter anderem an der ISO 31000:2018 orientiert, neu aufgesetzt und er besteht aus sieben Stufen: Risikoidentifikation, Risikorelevanz entscheiden, Risikobewertung (brutto) erstellen, Risikoaggregation (brutto) durchführen, Risikosteuerung, Risikoaggregation (netto) durchführen und Risikoüberwachung.

Der Risiko-Management-Prozess wird im Rahmen eines Workshops durchgeführt, der zu Beginn halbjährlich durchlaufen wird. Der Workshop besteht aus fünf Phasen, in denen die fünf Stufen des Risiko-Management-Prozesses in angepasster Art durchlaufen werden:

Phase 1

In einer ersten Phase werden alle Mitarbeiter über den anstehenden Prozess informiert und zu einer schriftlichen Befragung eingeladen. Inhalte sind Wahrnehmung des Risiko-Managements, individuell wichtigste Risiken oder Risikothemen und Ideen zu strategischen Risiken.  Diese schriftliche Befragung ist je nach Rolle (Risikoeigner oder nicht) anders aufgebaut und wird vom Mitarbeiter digital ausgefüllt. Am Ende der Phase wird der Fragebogen kurz mit dem Operativen Risiko-Management besprochen, um die Datenqualität und damit die Bedeutung der einzelnen Befragungen zu sichern.

Phase 2

In der folgenden, zweiten Phase, werden die Grundsteine des Risiko-Managements vom Strategischen und Operativen Risiko-Management gelegt, der Risiko-Management-Prozess definiert und die Grenzwerte und Kennzahlen festgelegt. In dieser Phase werden Risikoappetit, Risikopolitik, Risikokultur und Risikokommunikation verbalisiert. Außerdem werden Risikodeckungskapital und Schwellwerte beziffert und strategische Risiken identifiziert und gesteuert.

Phase 3

In der nächsten, dritten Phase, beginnt der Workshop für die gesamte SAVISCON. Die Einführung bildet eine allgemeine Risiko-Management-Schulung für alle Mitarbeiter. Im Anschluss ziehen sich die spezifischen Risikobereiche nacheinander mit dem Operativen Risiko-Management zurück und erarbeiten zusammen die ersten Stufen des Risiko-Management-Prozesses (Risikoidentifikation, Risikorelevanz, Risikobewertung (brutto und netto), Risikosteuerung, Risikoüberprüfung planen). Das Ende der Phase bildet das Operative Risiko-Management mit der Analyse aller übrigen Risiken.

Phase 4

In der darauf folgenden, vierten Phase, werden alle Informationen der dritten Phase durch das Operative Risiko-Management zusammengetragen, die Abhängigkeiten der Risiko-Paare definiert, die Risikoaggregationen (brutto und netto) durchgeführt und ein Risiko-Management-Abschlussbericht erstellt.

Phase 5

In der letzten, fünften Phase, werden die Kernaussagen aus dem Risiko-Management-Abschlussbericht mit allen Mitarbeitern geteilt und das Meinungsbild über den Risiko-Management-Prozess erhoben. Hier sollen gezielt Hinweise und Ideen für den nächsten Risiko-Management-Prozess abgefragt werden und es sollen bereits geplante Änderungen als Ausblick kommuniziert werden.

Ausblick:

Die nächsten Schritte des Risiko-Managements in der SAVISCON GmbH sind das Durchlaufen des neu geplanten Risiko-Management-Prozesses und das Erheben von Rückmeldungen und gegebenenfalls ersten Anpassungsvorschlägen. Weiter wird das interne Verständnis der ISO 31000:2018 aufgeklärt und die ergriffenen Maßnahmen erläutert. Außerdem wird das Strategische Risiko-Management näher betrachtet und das Verständnis der Begriffe Risikoappetit, Risikopolitik, Risikokultur und Risikokommunikation geteilt und thematisch eingeordnet.

Über den Autor:

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit den Schwerpunkten Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

Wie funktioniert ein Personalwechsel im Risiko-Management?

/in , /von

Wissenstransfer & gemeinsames Verständnis aufbauen

Von Marcel Steur, Consultant Risiko-Management & GRC der SAVISCON GmbH

Vielleicht ist es Ihnen schon aufgefallen: Es gab im SAVISCON-Blog lange keinen Beitrag mehr zum Thema Risiko-Management. Das hat auch einen Grund, denn unser Mitarbeiter, der bisher das Risiko-Management verantwortet hat – Uwe Straßberger – ist im März 2022 in den Ruhestand gegangen. Doch seit April ergänze ich, Marcel Steur (Consultant Risiko-Management & GRC), das SAVISCON-Team und blogge zukünftig über alle Themen rund um das Risiko-Management. Qua akademischer Ausbildung bin ich Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Die Kontaktbereiche mit dem Risiko-Management waren bisher quantitativer Natur, also mathematisch- und zahlengetrieben. Mein Wirkungsbereich begann also, wenn Risiken bereits identifiziert, als relevant definiert und beschrieben wurden. Meine akademischen Schwerpunkte waren das Schließen einer Risikobewertung aus Rohdaten und die Risikoaggregation aus Einzelrisiken mit verschiedenen Kennzahlen.

Orientierungsphase: Mein Start ins SAVISCON-Risiko-Management

Mit dem aktuellen Wachstum der SAVISCON GmbH verändern sich auch die Abteilungen, interne Strukturen, das Personal wird umgeplant und Zuständigkeiten verlagern sich. Zu Beginn meiner Tätigkeit habe ich an einer Schulung teilgenommen, in der ich das vollständige Risiko-Management, den bundesweiten Stand, die typischen Prozesse und die Umsetzungsmethoden durchlaufen habe. Mit diesen Informationen habe ich mir das interne Risiko-Management, insbesondere die Risiken, den Risiko-Management-Leitfaden und die internen Bereiche und deren Zuständigkeiten angesehen und mich in diese Strukturen eingearbeitet. Mit dem Überblick der internen Strukturen mussten einige Fragen über meinen geplanten Zuständigkeitsbereich geklärt werden, damit zum einen kein Teilbereich ohne Zuständigkeit verbleibt und zum anderen kein Teilbereich mit doppelter Zuständigkeit geplant wird.

Definitionsphase: Gemeinsame Definition von „Risiko“

Beim Einsehen der Risiken stellte ich verschiedene Arten des Anlegens von Risiken fest. Dies resultierte aus jahrelangem Anlegen von Risiken durch unterschiedliche Zuständige mit jeweils anderer Sicht- und Denkweise. Ich musste „das Risiko“ also für mich klar erfassen und definieren. Grundsätzlich beschreibt das Risiko eine Wahrscheinlichkeit in einer kausalen Kette, es steht also zwischen Ursache und Wirkung. Diese kausale Kette beginnt mit einer Ursache, die sich wahrscheinlich realisieren könnte, eine negative Auswirkung auf vorhandene Prozesse hat und damit ein Unternehmensziel gefährdet oder verhindert.
Als Beispiel hätte ein veralteter Fuhrpark (Ursache) eine nicht zu vernachlässigende Wahrscheinlichkeit, dass eines der Fahrzeuge ausfällt (Risiko) und der das Fahrzeug nutzende Mitarbeiter nicht rechtzeitig zu einem Kundentermin kommt (Auswirkung). Damit wäre das Unternehmensziel „hohe Kundenzufriedenheit erreichen“ gefährdet.
Laut dieser klaren Definition war es mir möglich zu erkennen, dass in einigen der internen Risiken nicht genau das Risiko von der Ursache oder die Auswirkung vom Risiko getrennt eingetragen war.

Hier drei Beispiele für unklare Eintragungen:

  • Der Ausbruch einer neuen COVID-Variante ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Ursache, dessen Risiko die mögliche Erkrankung eines Mitarbeiters wäre, was zum Ausfall eines Mitarbeiters führen könnte.
  • Die Handlungsunfähigkeit aller Mitarbeiter wegen IT-Problemen ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Auswirkung, dessen zugehöriges Risiko der Ausfall des Unternehmensservers ist, der sich aus der Ursache von schädlichen IT-Fremdeinwirkungen ergibt.
  • Das Unterschreiten des geplanten Umsatzwachstums von 10 % ist ein Risiko für das Unternehmen – Hier handelt es sich um das Nichterreichen eines Unternehmensziels, das durch Auswirkungen gefährdet oder verhindert werden könnte. Hierbei kann es jedoch viele Auswirkungen geben, die sich aus unterschiedlichsten Risiken realisieren können, die sich aus verschiedensten Ursachen ergeben könnten.

Des Weiteren waren die eingetragenen Risiken in dreistelliger Anzahl für einen zentralen Risiko-Manager nicht mehr leicht zu überblicken. Dafür sollte ein Kategorisierungs-Konzept für die internen Risiken entwickelt und eingeführt werden. Die Möglichkeiten von Risiko-Kategorisierungen sind jedoch immens. Aus verschiedenen Risiko-Management-Fachbüchern folgen unzählige Risikoarten und Risikokategorien. Mit meinem ganzheitlichen Ansatz, alle möglichen Risiken zu identifizieren und daraus dann eine Beurteilung der Risikorelevanz ableiten zu können, bin ich sehr schnell an meine Grenzen gestoßen. Als vorerst klüger erwies es sich, Risikokategorien aus der aktuellen Unternehmensrealität zu definieren.
Beispielsweise könnten sich die Risikokategorien aus den Vermögengegenständen, den wichtigen Mitarbeitern, den Gefährdungen von Unternehmenszielen oder Gründe für negative Prozessveränderungen in der Vergangenheit ableiten. Diese primären Risikokategorien können auch im Rahmen von Workshops oder Brainstormings gebildet werden.
Um schnell den ersten Schritt gehen zu können, wurden die Risiken der SAVISCON vorerst nach den vier internen Zuständigkeitsbereichen Compliance, IT-Sicherheit, Projekte und Operatives Risiko-Management kategorisiert. Die identifizierten, kategorisierten und damit überschaubaren Risiken haben nun ihre erste Zuordnung erhalten.

Die nächsten Schritte: Anpassen des Risiko-Management-Leitfadens

Im nächsten Schritt wird es um den Risiko-Management-Leitfaden gehen, der nach der starken Wachstumsphase der SAVISCON GmbH, an Komplexität zunehmen wird. Aktuell abgestimmt wird die Einführung eines siebenstufigen Regelkreises aus Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation (Brutto), Risikosteuerung, Risikoaggregation (Netto) und Risikoüberwachung und auf die Anpassung auf die verschiedenen Zuständigkeiten. Diesen umfangreichen Prozess der Operationalisierung mit allen Kennzahlen und Details werde ich im nächsten Blogbeitrag darlegen, wenn wir den Prozess abgeschlossen haben.

Über den Autor

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

Business Continuity Management: Was ist das?

/in , /von

BSI Standard 200-4: Ein weiteres Management-System?

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Anfang 2021 hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des „Standards 200-4 Business Continuity Management (BCM)“ vorgestellt. Dieser Standard soll in der zweiten Jahreshälfte 2021 den bisher gültigen „Standard 100-4 Notfallmanagement“ ablösen. Doch was ist Business Continuity Management überhaupt? Müssen wir von vorne anfangen und ein neues Managementsystem aufsetzen? Das besprechen wir in diesem Blog-Beitrag:

Was ist Business Continuity Management?

Mit Business Continuity Management ist gemeint, dass gefährliche Situationen, die die Geschäftsfähigkeit von Unternehmen ganz oder teilweise beeinträchtigen können, bereits im Vorfeld identifiziert und antizipiert werden. Für den Fall eines Eintritts werden dann entsprechende Vorsorgestrategien und Maßnahmen entwickelt. So soll erreicht werden, dass die Geschäftsfähigkeit in Notfällen nicht zum Erliegen kommt, beziehungsweise schnellstmöglich wieder hergestellt werden kann, und das Unternehmen nicht durch das Ereignis gefährdet wird.

Wie startet man mit BCM?

Als erstes wird das Unternehmen analysiert und alle unternehmenskritischen Prozesse evaluiert. Diese wesentlichen Prozesse werden dann im nächsten Schritt in den Fokus genommen. In einem Risikoassessment muss evaluiert werden, welche Risiken es in Bezug auf diese Prozesse gibt, die potenziell existenzgefährdend sind. Es werden dann Vorsorge-Maßnahmen definiert, durch die das Unternehmen bereits im Vorhinein geschützt werden kann. Welche wesentlichen Risiken es für kleine und mittelständische Unternehmen gibt, haben wir bereits in einem anderen Blog-Beitrag behandelt: Wesentliche Risiken für kleine und mittelständische Unternehmen.

Im Grunde unterliegt das Business Continuity Management, wie alle gängigen Management-Systeme – auch dem Plan-Do-Act-Check-Zyklus (PDCA-Zyklus) und ist Teil eines kontinuierlichen Verbesserungsprozesses:

PDCA Grafik

Standard 100-4 vs. 200-4

Jetzt fragen Sie sich vielleicht: Ist meine bisherige Arbeit zum Standard 100-4 hinfällig? Nein, ist sie nicht! Denn das Notfallmanagement ist nach wie vor Teil des Business Continuity Managements. Oben haben wir von Vorsorgemaßnahmen (proaktiv) gesprochen. Doch tritt ein katastrophales Ereignis trotz allem ein, werden die Notfallmaßnahmen (reaktiv) ja trotzdem benötigt. Sie können alles bisher Erarbeitete also weiterverwenden und ergänzen. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Stufenmodell BSI Standard 200-4

Der Standard 200-4 ist ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

Reaktiv-BCMS

Das Reaktive-BCMS ist vor allem für Unternehmen geeignet, die als Ziel haben, besonders für mögliche Notfälle gewappnet zu sein und schnell reagieren zu können. Dabei greifen die Unternehmen auf bereits vorhandene Sicherheits- und Vorsorgemaßnahmen zurück und setzen sich nur mit ausgewählten, zeitkritischen Unternehmensprozessen auseinander. Andere BCM-Maßnahmen werden beim Reaktiv-BCM vorerst zurückgestellt, weil die Analyse im ersten Schritt zu aufwändig wäre. Dies wird dann beim Wechsel in das Aufbau- bzw. Standard-BCMS nachgeholt. Dieser Wechsel ist nötig, denn das Reaktiv-BCMS stellt nur einen stark vereinfachten Einstieg dar und muss zum Aufbau bzw. Standard-BCMS weiterentwickelt werden.

Zusammenfassend halten wir fest:

  • dient als vereinfachter Einstieg
  • Notfallbewältigung wird ermöglicht
  • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen

Aufbau-BCMS

Auch das Aufbau-BCMS steht für den Schutz von zeitkritischen Geschäftsprozessen und Assets eines Unternehmens. Hierbei wird zunächst der Prozessumfang eines Geltungsbereiches näher analysiert und innerhalb des BCM abgesichert. Vorteil gegenüber dem Standard-BCMS: Die Unternehmen können ihre zeitlichen- und personellen Ressourcen schrittweise festlegen und nach dem ersten Zyklus mit den gewonnenen Erfahrungen anpassen und verbessern. Unternehmen, die über geringe Erfahrungswerte verfügen und ihr BCMS schrittweise sowie risikoorientiert aufbauen wollen, sind mit dem Aufbau-BCMS gut beraten.

Zusammenfassend halten wir fest:

  • erleichtert den Übergang zum Standard-BCMS
  • Formalisierung der Methodik
  • zusätzliche Geschäftsprozesse werden betrachtet

Standard-BCMS (mit ISO 22301:2019 kompatibel)

Beim Standard-BCMS werden alle Geschäftsprozesse analysiert, die im Geltungsbereich des BCM liegen. Das entspricht laut BSI einem vollständigen und angemessenen BCMS und wird allen Stakeholdern gerecht. Mit Einführung des Standard-BCMS werden alle zeitkritischen Geschäftsprozesse entsprechend des Ausfallrisikos mittels Vorsorge- und Notfallmaßnahmen abgesichert. Wenn ein Unternehmen diesen Status erreicht hat, kann es sich für die Zertifizierung nach ISO-Standard 22301 qualifizieren.

Zusammenfassend halten wir fest:

  • Empfehlung vom BSI für alle Institutionen
  • vollständiges BCM
  • ISO 22301 kompatibel
  • Untersuchung aller Geschäftsprozess

Reicht mein ISMS noch aus?

Laut BSI reicht ein reguläres Informationssicherheits-Management-System (ISMS) nicht mehr aus. Ein Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, falls er ausgefallen ist, so schnell wie möglich wieder aufgenommen werden kann. Daher müsse es als ein weiteres, korrespondierendes Management-System eingeführt werden.

Wir empfehlen im Sinne der Digitalisierung, dass sich Unternehmen beim Neuaufbau Ihres BCM (oder generell eines jeden Management Systems) direkt für eine Umsetzung in einer geeigneten Software entscheiden, die alle Management-Systeme abbilden kann und die einzelnen Risiken und Maßnahmen sinnvoll miteinander verbindet.

Genau das machen wir im SAVISCON GRC-COCKPIT. So können die Risiken und Gegenmaßnahmen auch abteilungsübergreifend und Management-System übergreifend durchgängig und effizient erfasst werden. Alle notwendigen Informationen sind in konsolidierter Form im System vorhanden. Im Übrigen wird durch die Dokumentation im GRC-COCKPIT auch der jeweilige Audit-Prozess pro Management-System wesentlich effizienter abgewickelt werden können.

Grafik Management-Systeme

Die Management-Systeme eines Unternehmens.

Wann erscheint die finale Fassung des Standard 200-4?

Bis Juni 2021 konnte der Community Draft kommentiert werden. Im Nachgang werden die Kommentare eingearbeitet und die Veröffentlichung des finalen Standards ist für die zweite Jahreshälfte geplant. Ein genaues Datum steht nicht fest, da man den Umfang des Anwender-Feedbacks nicht einschätzen kann. Sobald der Standard 200-4 vom BSI offiziell herausgegeben wird, werden wir Sie hier informieren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446

Quellen:

BSI-Webseite: BSI-Standard 200-4

Community Draft BSI-Standard 200-4

Teambuilding ist auch Risiko-Management

/in /von

Segeln als Maßnahme zur Risikominimierung

Von Ingo Simon, Geschäftsführer das SAVISCON GmbH

„Unsinn“ wird vielleicht der eine oder die andere sagen. „Teambuilding und Risiko-Management haben nichts miteinander zu tun!“ Aus meiner Sicht ist das aber tatsächlich der Fall und bei der SAVISCON beziehen wir das Teambuilding daher bewusst als Maßnahme ins Risiko-Management mit ein. Warum?

Hemmschwellen senken und Kommunikation verbessern

Kontaktbeschränkungen aufgrund der Pandemie treffen nicht nur Privathaushalte, sondern natürlich auch die Firmen. Seit März 2020 haben wir bei der SAVISCON mehrere neue Kolleginnen und Kollegen ins Team aufgenommen. Und nach fast zwei Jahren Corona gibt es immer noch Leute im Team, die sich noch nicht persönlich kennengelernt haben, da größere Zusammenkünfte nicht möglich waren.

Klar, wir haben uns alle virtuell schon gesehen und gehört. Wir machen beispielsweise regelmäßige Wochenend-Auftakt-Calls, in denen wir uns freiwillig, locker und ungezwungen mit ein paar Getränken austauschen und (meistens) nicht über die Arbeit sprechen. Aber es ist doch etwas anderes, wenn man sich auch mal für einen längeren Zeitraum persönlich trifft und teilweise neu kennenlernt. Das baut Hemmschwellen in der Kommunikation ab. Vorher traut man sich vielleicht nicht, die Kollegin wegen einer vermeintlichen Kleinigkeit zu kontaktieren, sie hat sicher Besseres zu tun. So werden Informationen und vielleicht auch Probleme nicht weitergegeben oder falsch eingeschätzt, oder man bleibt in seinem Arbeitsprozess stecken und kommt in Verzug etc. Kennt man sich aber besser, verschwinden diese Hürden und Ängste, Kommunikation wird einfacher und damit häufiger und der Informationsfluss funktioniert trotz räumlicher Distanz viel besser.

Persönlicher Kontakt stärkt Loyalität

Ein anderer Aspekt sind die Fluktuation und Loyalität. Mitarbeitende, die Vertrauen in die Firma, die Führung und die Kolleginnen und Kollegen haben, werden nicht so schnell überlegen, ob sie die Firma wechseln. Fluktuation ist ganz klar ein Thema, das in keiner Risikobetrachtung fehlen darf, vor allem bei KMU. Die Nachbesetzung einer Stelle erzeugt mitunter großen – auch finanziellen – Aufwand. Ist es eine Schlüsselstelle, die länger nicht besetzt wird, kann das auch zu negativen Folgeeffekten führen, beispielsweise, wenn ein notwendiger IT-Spezialist fehlt, oder die Kunden nicht mehr vernünftig betreut werden können.

Auch die Loyalität ist naturgemäß in einem funktionierenden Team größer. Somit werden beispielsweise der Verrat von Geschäftsgeheimnissen oder nicht autorisierte Datenweitergaben unwahrscheinlicher oder auch Konkurrenzdenken innerhalb des Teams auf ein gesundes Maß reduziert.

Also, alles, was „menschelt“, kann man mittels Teambuilding am Ende besser harmonisieren und steuern und damit diese Risiken minimieren.

SAVISCON-Teamevent in Rostock

Genau das haben wir auch am 13. und 14.08.2021 getan. Unter dem Motto „SAVISCON gestern-heute-morgen“ ist das gesamte Team am Freitag, den 13.08.21, in Rostock zusammengekommen. Das markante Datum hat uns jedenfalls nicht ausgebremst, es hat alles so geklappt, wie wir uns das vorgestellt haben.

Da die SAVISCON GmbH im letzten November Ihr 10-jähriges Bestehen feiern konnte, aufgrund der dritten Welle aber nicht wirklich feiern durfte, haben wir zu Beginn unsere Veranstaltung gemeinsam die letzten 10 Jahre Revue passieren lassen, um einmal zu reflektieren, wie wir uns entwickelt haben und wie das Team gewachsen ist. Für das Team waren da einige Anekdoten dabei, die sowohl spannend als auch lustig waren. Das Wichtigste ist aber, dass nun jeder weiß, wie die Geschichte der anderen ist, was die Motivation des Einstieges jedes Einzelnen war und wo sie hergekommen sind. Ich empfinde das als sehr wichtig, da das gegenseitige Verständnis deutlich wächst und man nach einem solchen Event auch noch besser und harmonischer miteinander umgehen kann.

Jeder hat dann auch noch einmal im Detail in der Runde berichtet, was die Tätigkeitsschwerpunkt in 2021 bisher waren und was kurzfristig für das Jahr noch auf der Agenda steht. Auch das hat uns allen noch einmal vor Augen geführt, was wir mit unserem kleinen, motivierten und schlagkräftigen Team derzeit alles bewegen.

Am Nachmittag haben wir dann das „Morgen“ betrachtet, einmal in der Kurzfristperspektive und dann bis 2025 und unsere Bilder der Firma, der Aufgaben und des Arbeitsumfelds miteinander abgeglichen und weiterentwickelt. Die Ergebnisse des Austauschs werden wir jetzt mitnehmen und in den nun beginnenden Strategieprozess einfließen lassen.

Nach der Arbeit kommt der Spaß


Am zweiten Tag war dann das eigentliche Teambuilding Event geplant. Um 09:30 Uhr sind wir beim Veranstalter speedsailing „eingelaufen“. Dort haben wir eine Legende des Segelsports für den Tag gechartert. Und zwar sind wir auf eine HiTech-Rennyacht eingestiegen, die ehemalige „Illbruck“, die das Volvo Ocean Race, eine Regatta in Etappen rund um den Globus, in 2003 als erste Deutsche Yacht gewonnen hat.

Unsere Aufgabe war es, unter der Aufsicht der Stamm-Crew, das Rennboot möglichst schnell und sicher über die Ostsee zu bewegen. Das ist schon eine Herausforderung, wenn die Hälfte des Teams keinerlei Segelerfahrung besitzt und zusätzlich dazu noch ein strammer Wind weht. Die Herausforderung beginnt schon mit der Bewegung des Bootes, man muss schon aufpassen wann man sich wohin bewegt.

Durch die Schräglage muss man sich auch gut festhalten, wenn man sich an Deck bewegt. Die Bedienung der Segel ist auf solch einem großen Boot nicht mit normaler Armkraft zu leisten. Die Winschen werden über zentrale sogenannte Grinder angetrieben, die immer paarweise bedient werden. Und tatsächlich konnte dann jede oder jeder aus dem Team mit anpacken und war Teil des Erlebnisses, dass wir das Boot im Griff hatten. Bei Böen bis 25 kn und einem maximalen Speed von knapp 13 kn unter einem knapp 300 qm großen Spinnaker, merkt man schon, welche gewaltigen Kräfte auf das Boot wirken. Und doch haben wir Amateure und Anfänger es geschafft, das Boot gemeinsam sicher auf Kurs zu halten.

Fazit

Letztendlich ist das ja auch das, was wir aus dem Teambuilding mitnehmen wollen: Wenn wir alle an einem Strang ziehen, uns koordinieren und absprechen, dann werde wir auch die SAVISCON weiter gut und sicher unter Wind auf Kurs halten. Die oben beschriebenen, teambezogenen Risiken sind auf jeden Fall fürs Erste minimiert. Und damit das so bleibt, ist die nächste, risikominimierende Maßnahme „Teamevent“ auch schon geplant.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

Wesentliche Risiken für kleine und mittelständische Unternehmen

/in , /von

Ausfall von Schlüsselpersonen im Unternehmen und/oder Wegfall eines Großkunden

von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Im letzten Blog-Beitrag aus unserer Reihe GRC@SAVISCON ging es um das Compliance-Thema “Know Your Customer (KYC)”, heute kehren wir zum Projekt Risiko-Management zurück. Hintergrund: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

Ein kurzer Rückblick:

Zum Start des Risiko-Managements bei SAVISCON wurden in einem Brainstorming die abteilungsspezifischen Risiken von allen Organisationseinheiten gesammelt. Lesen Sie hier meinen ersten Blog-Beitrag aus dem Projekt Risiko-Management. Das Ergebnis war eine Anzahl von mehr als 70 Risiken. Für ein kleines Unternehmen wie unseres eine beachtliche Anzahl. Für mich als Risikomanager bestand die erste Aufgabe darin diese Risiken in das SAVSICON GRC-COCKPIT einzupflegen. Das war eine reine Fleißarbeit, die in dem Fall mit Copy & Paste relativ schnell erledigt war.

Im nächsten Schritt erfolgte die Aufforderung an die Abteilungen zu den einzelnen Risiken eine Bruttobwertung abzugeben. Auch das war mit der Funktion „Risikobewertung → Neue Organisationseinheit hinzufügen“ im Cockpit schnell erledigt. Der Workflow sorgt für eine gute Übersicht, sowohl für den Risikomanager als auch für die Fachbereiche, welche Bewertungsaufgaben an welche Organisationseinheiten verteilt wurden, und wann diese fällig sind. Bei der Betrachtung der Bewertungen, die die Kollegen dann termingerecht gemacht hatten, fiel mir auf, dass die meisten Risiken innerhalb der Risikomatrix eher in einem unkritischen Bereich lagen.

Wir erinnern uns: Ganz am Anfang hatten wir in unserem Risikoleitfaden den Risikoappetit des Unternehmens festgelegt und in die Risikomatrix des Cockpits übernommen. Mehr zum Thema Risikoappetit lesen Sie in meinem Blog-Beitrag “Wie funktioniert die Risikobewertung?” Bei weit mehr als der Hälfte der Risiken lag sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkung (Schadenshöhe) bei „gering“ oder „mittel“. Für SAVISCON sind diese Stufen der Risikobewertungen weder in wirtschaftlicher, noch hinsichtlich unserer Reputation von besonderer Bedeutung.

Risikomatrix mit normalem Risikoappetit

Ein Beispiel für eine Risikomatrix mit einem normalem Risikoappetit.

Klar, es ist ärgerlich, wenn für einige Stunden unsere Homepage nicht erreichbar ist oder wenn es durch den Ausfall unserer CRM-Software zu einer vorübergehenden Einschränkung bei der Kundenbetreuung kommt. Gravierender sind da schon solche Risiken wie beispielsweise der Ausfall der Infrastruktur für das SAVISCON GRC-COCKPIT, weil unsere SaaS-Kunden dann vorübergehend nicht mit der Software arbeiten könnten. Übrigens: Bei diesem Risiko decken wir gleich zwei Bereiche ab: Risiko-Management und IT-Sicherheitsmanagement. Das lässt sich bei uns im GRC-COCKPIT hervorragend miteinander verbinden.

Auch der Ausfall des technischen Supports hat unter Umständen weitreichendere Folgen. Unter anderem könnte in beiden Fällen unser Ansehen beim Kunden Schaden nehmen und bei einem länger andauernden Störfall könnten die Kunden eventuell sogar Schadensersatz einfordern oder den Lizenzvertrag kündigen. Alles ärgerlich, aber die Auswirkungen, die hinter diesen Risiken stecken hätten keine gravierenden wirtschaftlichen Folgen, solange nicht alle Kunden gleichzeitig abspringen. Es ist recht unwahrscheinlich, dass diese Risiken am Ende sogar existenzgefährdend für SAVISCON sein könnten. Damit sind wir beim Kern der Sache. In unseren Einführungsberatung für das SAVISCON GRC-COCKPIT empfehlen wir den Kunden:

Konzentrieren Sie sich am Anfang auf das Wesentliche
(Potenziell existenzgefährdende Normen und Risiken oder Risikoszenarien)

Wenn man als Unternehmen mit dem Risiko-Management startet hat man einen riesigen Berg an Arbeit vor sich. Risiken, aber auch Anforderungen und Normen müssen, identifiziert, eingepflegt und bewertet werden. Um die Situation bei kritischen Bewertungen zu verbessern, müssen dann noch Maßnahmen eingeleitet und Überwachungen durchgeführt werden. Das alles ist beim initialen Risikoprozess zeitintensiv und wird gerade bei kleineren und mittleren Unternehmen oftmals neben der eigentlichen Arbeit verrichtet. Das Risiko-Management ist jedoch ein fortlaufender Prozess, der mit einem strategischen Ansatz begonnen werden muss. Und klar ist: man kann nicht alles auf einmal schaffen.

Die Devise lautet also: Das Wesentliche zuerst!
Und das Wesentliche sind im ersten Step, die Risiken, die für ein Unternehmen wirtschaftlich gravierende Ausmaße haben oder im schlimmsten Fall sogar existenzgefährdend sein könnten. Natürlich gibt es auch bei uns eine Anzahl von Risiken, die in der Bruttobewertung, sowohl hinsichtlich der Eintrittswahrscheinlichkeit als auch der Auswirkung (Schadenshöhe) als „hoch“ oder „sehr hoch“ eingeschätzt wurden. Risiken deren Bearbeitung sicherlich eine hohe Priorität besitzen. Aber, es gibt zwei Risiken deren Auswirkungen eine potenziell existenzielle Gefährdung, mindestens aber einen erheblichen wirtschaftlichen Schaden für die SAVISCON bedeuten würden. Wobei eines der Risiken ein sog. Risikoszenario darstellt, weil es mehrere Einzelrisiken sind, die hier in der ungünstigen Zusammenwirkung eine hohe Gefährdung verursachen könnten. Konkret sind die folgenden Risken:

1. Der Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall
2. Der Ausfall von Schlüsselpersonen im Unternehmen

Hintergrund: Wachstum der SAVISCON GmbH

Foto SAVISCON-Team BesprechungSeit der Gründung der SAVISCON im Jahre 2010 lag das Kerngeschäft im Customer Communication- und Enterprise Content Management. Nachdem es in den ersten Jahren eine „One man show“, mit Ingo Simon als einzigem Mitarbeiter war, hatte das Unternehmen Ende 2018 vier Mitarbeiter. Seit wir Anfang 2019 mit der Vermarktung des SAVISCON GRC-COCKPIT und den dazugehörigen Dienstleistungen begonnen haben hat sich die Anzahl der Mitarbeiter vervielfacht.

Auswirkungen bei Risikoeintritt

Bevor wir mit den Risiko-Management begonnen haben, hatte sich niemand so richtig Gedanken über diese beiden Risiken gemacht. Fakt ist aber, dass ein Großteil des Umsatzes durch den Großauftrag eines Kunden generiert wurde, der durch alle Consulting Mitarbeiter erfüllt wurde. Somit war das Einkommen der Mitarbeiter und darüber hinaus auch die Existenz des Unternehmens von diesem einen Kunden abhängig. Ein Projektstopp oder Austausch der SAVISCON durch andere Dienstleister hätte fatale Folgen, es könnte bei fehlenden Folgeaufträgen das mögliche Aus der Firma und daraus resultierend die Arbeitslosigkeit der Mitarbeiter bedeuten.

Was den Ausfall der Schlüsselpersonen betrifft gab es im ersten Jahr nach dem Start des SAVISCON GRC-COCKPIT und den dazugehörigen Aktivitäten nur einen Mitarbeiter in unserer Entwicklungsabteilung. Die Auswirkungen eines kompletten Ausfalls dieses Mitarbeiters wären für das Projekt und somit für das Unternehmen dramatisch, unter Umständen sogar wiederum existenzgefährdend gewesen. In dieser Abteilung wird nicht nur die Software ständig weiterentwickelt, sie ist auch für das Bereitstellen der Instanzen für unsere Kunden sowie für den kompletten Support und die Wartung verantwortlich. Zu Beginn hatten wir also nur einen Mitarbeiter mit den notwendigen Programmierungskenntnissen. Sein Ausfall hätte uns jegliche Geschäftsgrundlage im Segment SAVISCON GRC-COCKPIT entzogen.

Wie oben bereits erwähnt gibt es ähnliche Risiken in Bezug auf Schlüsselpersonen auch für andere Organisationseinheiten, wie z. B. die Geschäftsführung oder Marketing & Vertrieb. Somit haben wir ein typisches Beispiel für ein Risikoszenario, mit dem Namen „Ausfall von Schlüsselpersonen“, weil es dasselbe Risiko mehrfach als Einzelrisiko in verschiedenen Abteilungen gibt.

Bei beiden Risiken – Ausfall Schlüsselperson und Wegfall Großkunde – war somit klar, dass die Schadenshöhe bei Eintritt für die SAVISCON existenzgefährdend sein könnte. Eine Einschätzung bezüglich der Eintrittswahrscheinlichkeit ist dabei nicht ganz einfach, jedoch für die Bewertung hier auch nicht ausschlaggebend. Fakt ist; es könnte eintreten (und es könnte auch jeden Tag eintreten) Der Schaden wäre in beiden Fällen zu hoch! Damit waren beide Risiken in der Matrix im roten Bereich und es gab sofortigen Handlungsbedarf in Form von Maßnahmen. Welche das waren sehen Sie für das Großkundenrisiko im Screenshot:

Screenshot GRC-COCKPIT Ausfall Großkunde

Blick ins GRC-COCKPIT: So sieht das Risiko Umsatzausfall Großkunde in der Risiko-Management Software aus.

Maßnahmen Wegfall eines Großkunden

Dem Risiko „Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall“ begegnen wir dadurch, dass wir und insgesamt breiter aufstellen. Dazu sind wir derzeit in Verhandlungen mit strategischen Partnern. Eigentlich wollten wir das schon im April abgeschlossen haben, aber manchmal dauern solche strategischen Maßnahmen dann doch länger. Im Bild sieht man jedoch: Die Maßnahme ist rot, weil wir das gesetzte Zeitlimit überschritten haben. Wenn wir im August die Überwachung als durchgeführt und wirksam dokumentieren, weil wir dann voraussichtlich die Verträge unterzeichnen werden, wird diese Maßnahme grün
Dann wird auch das Risiko grün, weil nämlich die Maßnahme „Langfristigen Vertrag mit Bestandskunden abschließen“ erfolgreich zum Jahresbeginn umgesetzt wurde.
Des Weiteren betreiben wir heute fortlaufend die Akquise weiterer Kunden für unsere Consultingtätigkeiten im Customer Communication- und Enterprise Content Management. Zum anderen haben wir damit begonnen, das Geschäft der SAVISCON zu diversifizieren. Das ist durch die Aktivitäten des SAVISCON GRC-COCKPIT (Software und Dienstleistungen) bereits erfolgt. Darüber hinaus bereiten wir derzeit den Launch weiterer Produkte und Dienstleistungen vor. Diese Maßnahmen müssen wir in der Dokumentation im GRC-COCKPIT nun noch nachdokumentieren.
Diese Maßnahmen bedeuten für uns übrigens nicht nur die Minimierung unserer Risiken, sondern ermöglicht uns auch die Ausweitung unserer Geschäftsaktivitäten und, wenn wir erfolgreich sind, auch das Wachstum unseres Unternehmens. Womit wir einen klassischen Beweis dafür haben, dass Risiko-Management auch immer eine Chance bedeutet und zur guten Unternehmensführung beitragen kann.

Maßnahmen Ausfall von Schlüsselpersonen

Zum Risikoszenario „Ausfall von Schlüsselpersonen im Unternehmen“ haben wir unterschiedliche Maßnahmen durchgeführt. Für die Entwicklungsabteilung haben wir einen weiteren Mitarbeiter eingestellt und zusätzlich einen Mitarbeiter aus dem Consultingbereich, der über entsprechende Grundkenntnisse verfügt, durch Aus- und Weiterbildungsmaßnahmen als weiteren Backup fit gemacht. Für andere Abteilungen, wie die Geschäftsführung und Marketing & Vertrieb haben wir durch entsprechende Stellvertreterregelungen die Risiken des Komplettausfalls minimiert. Aus unternehmerischer Sicht ist es dabei durchaus hilfreich sehr pragmatisch vorzugehen. Gerade KMU’s können es sich aufgrund ihrer finanziellen Situation oftmals nicht leisten, „mal eben“ einen neuen Mitarbeiter einzustellen und sind daher auf entsprechende Zwischenlösungen angewiesen.
Übrigens: Auch durch die Rekrutierung eines neuen Mitarbeiters für die Entwicklungsabteilung konnten wir unsere Aktivitäten und das Portfolio unserer Dienstleistungen erweitern. Aufgrund vorhandener Kapazitäten haben wir diesen Kollegen zum ISMS-Manager (zertifiziert) ausbilden lassen und können somit im Bereich IT-Sicherheit weiteres Know-how anbieten, welches wir als Dienstleistungen bei potentiellen Kunden abrechnen können. Ein weiterer Beweis dafür, dass Risiko-Management auch immer eine Chance bedeutet.

Fazit

Beim Risiko-Management kommt es nicht darauf an von heute auf morgen perfekt zu sein und jedes kleinste Risiko zu erfassen und zu bearbeiten. Vielmehr geht es in erster Linie darum überhaupt einmal anzufangen und sich dabei auf das Wesentliche zu konzentrieren. Dabei ist es empfehlenswert, dass Sie zunächst mit den möglicherweise existenzgefährdenden Risiken anfangen und sich dann durch Ihre weitere Risikosammlung arbeiten. Unter dem Motto, „das Wichtigste zuerst“ werden sie nach und nach Ihr strukturiertes und umfangreiches Risiko-Management aufbauen. Mit Hilfe einer Software, wie dem SAVISCON GRC-COCKPIT, haben Sie dann fortlaufend alles im Griff.

Foto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

3 Herausforderungen bei Risiko-Assessment-Workshops

/in /von

Im Rahmen des Aufbaus und Betriebs eines Compliance-Management-Systems (CMS) ist bei unseren Kunden ein wichtiges Arbeitspaket die Durchführung von Risiko-Assessment-Workshops. Ziel dieser Workshops ist es, gemeinsam mit den Fachbereichen, die bedeutsamen Compliance-Risiken in dem jeweiligen Verantwortungsbereich herauszuarbeiten. Diese werden dann von der zentralen Compliance Stelle im Compliance Management System geführt und weiterverfolgt.

Ein angenehmer Nebeneffekt ist, dass durch die Workshops auch Awareness bei den Fachbereichen geschaffen. Insbesondere beim nachfolgenden Betrieb des Compliance Management Systems ist die Awareness und Unterstützung der Fachbereiche für die Compliance Stelle nämlich ein zentraler Erfolgsfaktor.

Aus unserer Erfahrung heraus gibt es drei Herausforderungen bei den Risiko Assessment Workshops, die am besten vor der Durchführung bedacht werden sollten:

1) Erläuterung des Zwecks und Zieles

Mit der ersten Kontaktaufnahme mit den Fachbereichen haben Sie die Chance das Thema Compliance richtig und positiv zu platzieren. Ist dem Fachbereich die Frage nach Ziel und der Zweck – also das „Wieso Compliance“ – nicht vollständig beantwortet, wird das Thema Compliance als Overhead ohne Nutzen wahrgenommen. Vielleicht gelingt trotzdem eine formale Zusammenarbeit, doch inhaltlich wird dann dabei eher weniger herauskommen.

Unser Tipp: Überlegen Sie sich aus Perspektive des Fachbereiches, wieso Compliance und das damit verbundene Risiko Assessment so wichtig ist! Stellen Sie dies dem Fachbereich bei der ersten Gesprächsaufnahme dar. Zeigen Sie, dass es auch einen Nutzen für den Fachbereich gibt!

2) Gespräch auf Augenhöhe

Der Fachbereich erwartet – genauso wie Sie auch – ein Gespräch auf Augenhöhe. Wenn Sie allerdings überhaupt kein Verständnis für die Prozesse und das Umfeld des Fachbereichs haben, ist es schwer ein Gespräch auf Augenhöhe zu führen. Oftmals hat der Fachbereich auch Hemmungen bzw. „Angst“ ein offenes Gespräch mit der Compliance Stelle zu führen, da dies als Bedrohung wirkt.

Unser Tipp: Arbeiten Sie sich vor einem Risiko Assessment in die Themen des Fachbereichs ein: Welche Prozesse gibt es? Welche Anforderungen stehen im Mittelpunkt? Stellen Sie in dem Gespräch dar, dass Sie auf der selben Seite sind und dass es nicht darum geht, den Fachbereich Fehler aufzuzeigen oder gegen ihn vorzugehen.  Sie sind im selben Boot.

3) Technische Unterstützung

Wenn das Assessment gut gelaufen ist, erhalten Sie am Ende eine Liste von potentiellen Compliance Risiken, die nun näher betrachtet werden. Oftmals beginnt hier eine Kombination aus Email-Korrespondenz und dem Kampf mit Excel-Monstern.  Das führt zu erhöhen Frust und Unlust die Dokumentation angemessen und nachvollziehbar durchzuführen.

Unser Tipp: Schaffen Sie durch technische Unterstützung frühzeitig eine Infrastruktur, um effizient mit dem Fachbereich zusammenzuarbeiten. Wir machen das beispielsweise mit unserem SAVISCON GRC-COCKPIT. In unserer Blog-Reihe GRC@SAVISCON können Sie nachlesen, wie wir im Begriff sind, unser eigenes GRC-Management mit dem GRC-COCKPIT aufzubauen.

Fazit

Setzen Sie sich am besten vor dem ersten Dialog mit den Fachbereichen mit den Herausforderungen auseinander. So können Sie sicher sein, dass die Assessments angenehm verlaufen und die Zusammenarbeit harmonisch verläuft.

GRC@SAVISCON: Risiko-Management

/in , /von

Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt.

Weiterlesen

No Risk – More Fun! GRC@SAVISCON

/in , /von

Wie wir mit unserem Risiko-Management starten

von Uwe Straßberger, Director Sales & Marketing bei der SAVISCON GmbH

Wie versprochen geht es heute in die zweite Runde unserer Blog-Reihe GRC@SAVISCON. Heute mit mir, Uwe Straßberger, als Autor und einem genaueren Blick in das Projekt „Risiko-Management“. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Risiko-Management.

Risikokultur – Tone from the Top

Wenn man ein solches Projekt startet, muss das vom höheren Management getragen werden. Das ist aufgrund der Struktur und Größe bei uns nicht so ein großes Thema. Da unser Geschäftsführer (siehe letzter Blog) das Programm ja selbst aufgesetzt hat, wissen wir natürlich auch, dass das Thema in der Unternehmensleitung als wichtig angesehen und vorangetrieben wird. In anderen Unternehmen mag das aber nicht so sein, daher ist hier wichtig: Versichern Sie sich der vollen Unterstützung Ihrer Unternehmensführung! Wenn diese das Thema als unwichtig oder zweitrangig abstempelt, werden Sie mit hoher Wahrscheinlichkeit Probleme bekommen, die notwendigen Ressourcen in Form von Personal, Zeit und Arbeitsmitteln zur Verfügung gestellt zu bekommen. Außerdem ist es dann schwieriger, in der Belegschaft die notwendige Akzeptanz zu erzeugen.

Projekt- und Ressourcenplanung

Gemeinsam mit meinem Kollegen Mark Teichmann (Produktentwicklung) leite ich das Projekt Risiko-Management. Als aufmerksamer Leser haben Sie bestimmt festgestellt, dass ich als „Director Sales & Marketing“ sowie Mark als „Produktentwickler“ keine klassischen „Risiko-Manager“ sind. Das liegt daran, dass wir unser Risiko-Management schnellstmöglich starten und vorerst kein Budget für zusätzliche Personalkosten verwenden wollten. Daher auch unser Tipp für kleine und wachsende Unternehmen: Schieben Sie Ihr Risiko-Management nicht auf die lange Bank, wenn aktuell kein Budget für einen Risiko-Manager eingeplant ist. Nutzen Sie beim Aufbau Ihres Risiko-Management-Systems stattdessen zu Beginn die vorhandenen internen Personalressourcen. Das Risiko-Management wächst zusammen mit ihrem Unternehmen und wenn die Geschäftsprozesse sowie Regularien komplexer werden, können Sie auch zu einem späteren Zeitpunkt einen Risiko-Manager einstellen – eventuell zunächst als Teilzeitstelle. Mit dem passenden digitalen Risiko-Management-Tool können Sie Ihr Unternehmen bereits mit einem geringen Personal- bzw. Budgetaufwand absichern. Diese Entscheidung hängt natürlich auch immer ganz von der Größe ihres Unternehmens und der Komplexität ihrer Geschäftsprozesse ab. Wir haben uns, wie erwähnt, zunächst dazu entschieden bestehende Ressourcen zu nutzen und planen pro Woche mit fünf Stunden pro Mitarbeiter. Wenn zwei Mitarbeiter an einem Projekt arbeiten, gibt es außerdem einen wöchentlichen Jour fixe, um den aktuellen Stand und das weitere Vorgehen zu besprechen. Die Meilensteine wurden uns vom Programm vorgegeben. Auf der Basis haben wir dann die einzelnen Schritte in Termine heruntergebrochen.

Risikoidentifizierung

Im ersten Schritt haben wir den Ist-Zustand analysiert: Welche Organisationseinheiten bzw. welche Geschäftsprozesse haben wir, welche externen Tools nutzen wir und welche Risiken resultieren daraus? Dazu haben wir alle Kollegen mit eingebunden und befragt. In virtuellen Sitzungen sprachen wir mit jeder Organisationseinheit, in unserem Fall sind das: Geschäftsführung, IT, Consulting, Administration, Marketing und Vertrieb sowie Datenschutz. So konnten wir in einem Brainstorming-Ansatz über zwei Wochen hinweg alle aus den Abteilungen bekannten potenziellen Risiken sammeln. Wichtig: Wir haben vorab eine Mail an alle Kollegen geschrieben, in der wir den Ablauf erklärt und die Deadline genannt haben. Uns war ebenfalls sehr wichtig rüberzubringen, dass es erstmal nur darum geht zu starten. An dieser Stelle gibt es keinen Anspruch auf Perfektion oder Vollständigkeit. Tatsächlich hat das bei uns im Team gut funktioniert und wir haben bis zur genannten Deadline alles geschafft. Alle Mitarbeiter so detailliert zu befragen ist natürlich – je nach Unternehmensgröße – nicht immer möglich. Dennoch sollte hier zumindest immer ein Vertreter jeder Organisationseinheit befragt werden, der sich eventuell vorab Feedback aus seinem Team holt.

Risikobewertung

Im nächsten Schritt ging es mit den eingeholten Infos für Mark und mich ans Sortieren der Risiken und ans Rausschmeißen von Doppelungen. Danach war es endlich so weit: wir konnten die identifizierten Risiken in unsere webbasierte Software einspeisen, das GRC-COCKPIT. Hier sind ebenfalls alle Organisationseinheiten und Assets hinterlegt, sodass wir die Risiken bereits damit verknüpfen konnten. Eine Herausforderung war das Formulieren der Risiken. Die KollegInnen benannten teilweise die Risiken als Anforderung, z. B.: „Es muss sichergestellt sein, dass…“. Diese Herangehensweise erschwert allerdings das Verständnis und vor allem auch die Bewertung für die anderen. Ein Hilfsmittel für das Formulieren von Risiken ist, dass man die folgenden Einleitungssätze im Geiste nutzt: „Es besteht die Gefahr, dass…“ oder „Es besteht das Risiko, dass…“.

Konkretes Beispiel:

Gesammeltes Risiko Formulierungshilfe: Es besteht das Risiko, dass… Eintrag ins GRC-COCKPIT
Bilder auf der Webseite: Liegen die entsprechenden Nutzungslizenzen vor? …eine dritte Partei Ansprüche auf die Lizenzrechte der von uns genutzten Bilder erhebt und uns mit einer Abmahnung belangt. Risiko: Abmahnung aufgrund fehlerhaft ausgewiesener Bildrechte

Das konkrete Formulieren ist die Voraussetzung für den darauffolgenden Schritt: die Risikobewertung. Dazu müssen die KollegInnen genau verstehen, welches Risiko hier gemeint ist. Sie sind dann nämlich wieder an der Reihe und müssen anhand der Risiko-Matrix Eintrittswahrscheinlichkeit vs. Schadenshöhe bei Eintritt des Risikos bewerten.

Aber darum soll es dann im Detail in unserem nächsten Blog-Beitrag aus dem Projekt Risiko-Management gehen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Risiko-Management:

  • Risiko-Management Projekte funktionieren nur mit Rückendeckung der Unternehmensleitung
  • Risiko-Management sollte nicht auf die lange Bank geschoben werden: lieber früh starten und zu einem späteren Zeitpunkt zusätzliches Personal dazu nehmen
  • Mitarbeiter aus allen Organisationseinheiten mit einbeziehen, denn die kennen ihre Arbeitsprozesse, Tools und die damit verbundenen Risiken selbst am besten
  • in der Initialphase besteht kein Anspruch auf Perfektion und Vollständigkeit
  • „better safe than sorry“ – besser zu Beginn jedes noch so klein erscheinende Risiko aus den Organisationseinheiten sammeln und im Nachgang aussortieren
  • bei der endgültigen Erfassung der Risiken ausreichend Zeit darauf verwenden, dass die Formulierung sprechend und eindeutig ist (dabei aber bitte die Verhältnismäßigkeit wahren und nicht in Schönheit sterben…😉)

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt IT-Sicherheit: Step by step: GRC@SAVISCON | Wie wir unser IT-Sicherheits- Management aufsetzen

Über den Autor:

Porträtfoto Uwe Straßberger

Uwe Straßberger (Director Sales & Marketing bei SAVISCON GmbH)

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

 

SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt