3 Herausforderungen bei Risiko-Assessment-Workshops
Im Rahmen des Aufbaus und Betriebs eines Compliance-Management-Systems (CMS) ist bei unseren Kunden ein wichtiges Arbeitspaket die Durchführung von Risiko-Assessment-Workshops. Ziel dieser Workshops ist es, gemeinsam mit den Fachbereichen, die bedeutsamen Compliance-Risiken in dem jeweiligen Verantwortungsbereich herauszuarbeiten. Diese werden dann von der zentralen Compliance Stelle im Compliance Management System geführt und weiterverfolgt.
Ein angenehmer Nebeneffekt ist, dass durch die Workshops auch Awareness bei den Fachbereichen geschaffen. Insbesondere beim nachfolgenden Betrieb des Compliance Management Systems ist die Awareness und Unterstützung der Fachbereiche für die Compliance Stelle nämlich ein zentraler Erfolgsfaktor.
Aus unserer Erfahrung heraus gibt es drei Herausforderungen bei den Risiko Assessment Workshops, die am besten vor der Durchführung bedacht werden sollten:
1) Erläuterung des Zwecks und Zieles
Mit der ersten Kontaktaufnahme mit den Fachbereichen haben Sie die Chance das Thema Compliance richtig und positiv zu platzieren. Ist dem Fachbereich die Frage nach Ziel und der Zweck – also das „Wieso Compliance“ – nicht vollständig beantwortet, wird das Thema Compliance als Overhead ohne Nutzen wahrgenommen. Vielleicht gelingt trotzdem eine formale Zusammenarbeit, doch inhaltlich wird dann dabei eher weniger herauskommen.
Unser Tipp: Überlegen Sie sich aus Perspektive des Fachbereiches, wieso Compliance und das damit verbundene Risiko Assessment so wichtig ist! Stellen Sie dies dem Fachbereich bei der ersten Gesprächsaufnahme dar. Zeigen Sie, dass es auch einen Nutzen für den Fachbereich gibt!
2) Gespräch auf Augenhöhe
Der Fachbereich erwartet – genauso wie Sie auch – ein Gespräch auf Augenhöhe. Wenn Sie allerdings überhaupt kein Verständnis für die Prozesse und das Umfeld des Fachbereichs haben, ist es schwer ein Gespräch auf Augenhöhe zu führen. Oftmals hat der Fachbereich auch Hemmungen bzw. „Angst“ ein offenes Gespräch mit der Compliance Stelle zu führen, da dies als Bedrohung wirkt.
Unser Tipp: Arbeiten Sie sich vor einem Risiko Assessment in die Themen des Fachbereichs ein: Welche Prozesse gibt es? Welche Anforderungen stehen im Mittelpunkt? Stellen Sie in dem Gespräch dar, dass Sie auf der selben Seite sind und dass es nicht darum geht, den Fachbereich Fehler aufzuzeigen oder gegen ihn vorzugehen. Sie sind im selben Boot.
3) Technische Unterstützung
Wenn das Assessment gut gelaufen ist, erhalten Sie am Ende eine Liste von potentiellen Compliance Risiken, die nun näher betrachtet werden. Oftmals beginnt hier eine Kombination aus Email-Korrespondenz und dem Kampf mit Excel-Monstern. Das führt zu erhöhen Frust und Unlust die Dokumentation angemessen und nachvollziehbar durchzuführen.
Unser Tipp: Schaffen Sie durch technische Unterstützung frühzeitig eine Infrastruktur, um effizient mit dem Fachbereich zusammenzuarbeiten. Wir machen das beispielsweise mit unserem SAVISCON GRC-COCKPIT. In unserer Blog-Reihe GRC@SAVISCON können Sie nachlesen, wie wir im Begriff sind, unser eigenes GRC-Management mit dem GRC-COCKPIT aufzubauen.
Fazit
Setzen Sie sich am besten vor dem ersten Dialog mit den Fachbereichen mit den Herausforderungen auseinander. So können Sie sicher sein, dass die Assessments angenehm verlaufen und die Zusammenarbeit harmonisch verläuft.