Drei Herausforderungen bei Risiko Assessment Workshops

Im Rahmen des Aufbaus und Betriebs eines Compliance Management Systems ist bei unseren Kunden ein wichtiges Arbeitspaket die Durchführung von Risiko Assessment Workshops. Ziel dieser Workshops ist es gemeinsam mit den Fachbereichen die bedeutsamen Compliance Risiken in dem jeweiligen Verantwortungsbereich herauszuarbeiten. Diese werden dann von der zentralen Compliance Stelle im Compliance Management System geführt und weiterverfolgt.

Ein angenehmer Nebeneffekt ist, dass durch die Workshops auch Awareness bei den Fachbereichen geschaffen. Insbesondere beim nachfolgenden Betrieb des Compliance Management Systems ist die Awareness und Unterstützung der Fachbereiche für die Compliance Stelle nämlich ein zentraler Erfolgsfaktor.

Aus unserer Erfahrung heraus gibt es drei Herausforderungen bei den Risiko Assessment Workshops, die am besten vor der Durchführung bedacht werden sollten:

1) Erläuterung des Zwecks und Zieles

Mit der ersten Kontaktaufnahme mit den Fachbereichen haben Sie die Chance das Thema Compliance richtig und positiv zu platzieren. Ist dem Fachbereich die Frage nach Ziel und der Zweck – also das „Wieso Compliance“ – nicht vollständig beantwortet, wird das Thema Compliance als Overhead ohne Nutzen wahrgenommen. Vielleicht gelingt trotzdem eine formale Zusammenarbeit, doch inhaltlich wird dann dabei eher weniger herauskommen.

Unser Tipp: Überlegen Sie sich aus Perspektive des Fachbereiches, wieso Compliance und das damit verbundene Risiko Assessment so wichtig ist! Stellen Sie dies dem Fachbereich bei der ersten Gesprächsaufnahme dar. Zeigen Sie, dass es auch einen Nutzen für den Fachbereich gibt!

2) Gespräch auf Augenhöhe

Der Fachbereich erwartet – genauso wie Sie auch – ein Gespräch auf Augenhöhe. Wenn Sie allerdings überhaupt kein Verständnis für die Prozesse und das Umfeld des Fachbereichs haben, ist es schwer ein Gespräch auf Augenhöhe zu führen. Oftmals hat der Fachbereich auch Hemmungen bzw. „Angst“ ein offenes Gespräch mit der Compliance Stelle zu führen, da dies als Bedrohung wirkt.

Unser Tipp: Arbeiten Sie sich vor einem Risiko Assessment in die Themen des Fachbereichs ein: Welche Prozesse gibt es? Welche Anforderungen stehen im Mittelpunkt? Stellen Sie in dem Gespräch dar, dass Sie auf der selben Seite sind und dass es nicht darum geht, den Fachbereich Fehler aufzuzeigen oder gegen ihn vorzugehen.  Sie sind im selben Boot.

3) Technische Unterstützung

Wenn das Assessment gut gelaufen ist, erhalten Sie am Ende eine Liste von potentiellen Compliance Risiken, die nun näher betrachtet werden. Oftmals beginnt hier eine Kombination aus Email-Korrespondenz und dem Kampf mit Excel-Monstern.  Das führt zu erhöhen Frust und Unlust die Dokumentation angemessen und nachvollziehbar durchzuführen.

Unser Tipp: Schaffen Sie durch technische Unterstützung frühzeitig eine Infrastruktur, um effizient mit dem Fachbereich zusammenzuarbeiten. Zu genau diesem Zweck haben wir die Contelligence Risikoerfassung entwickelt, die bereits bei einigen unserer Kunden entsprechend erfolgreich eingesetzt wird. Alternativ wäre auch eine Datenbank oder ein Sharepoint eine Lösung.

Fazit

Setzen Sie sich am besten vor dem ersten Dialog mit den Fachbereichen mit den Herausforderungen auseinander. So können Sie sicher sein, dass die Assessments angenehm verlaufen und die Zusammenarbeit harmonisch verläuft.

Informationssicherheit im Einklang mit Geschäftszielen

Manchmal wird Informationssicherheit im Unternehmen als lästiges Randthema betrachtet. Durch seine Anforderungen auf den Betrieb beeinflusse es die Geschäftstätigkeit negativ.

Solch eine Wahrnehmung liegt oftmals an einem mangelnden Business-Alignement: Informationssicherheit sollte als wichtiger Unterstützungsprozess betrachtet werden und im Einklang mit den Geschäftszielen stehen.

Weiterlesen

Dokumentenlenkung

Sie kennen diese Probleme: es gibt veraltete Richtlinien, inkonsistente Arbeitsanweisungen und unklare Verantwortlichkeiten. Hier greift die Dokumentenlenkung!

Ziel der Dokumentenlenkung ist es die Veränderungen an der dokumentierten Aufbau- und Ablauforganisation (Dokumentationspyramide) zu steuern. Die Dokumentationspyramide spiegelt dabei eine Soll-Beschreibung Ihrer Organisation wider und sollte – sofern vorhanden und richtig implementiert – Ihre Mitarbeiter bei der operativen Durchführung Ihrer Arbeit unterstützen.

Weiterlesen

Digital Encryption Lock Conceptual Illustration. Data Safety in IT Technology.

VPN Sicherheitskonzept unter Berücksichtigung des Schutzbedarfs

VPN ist eine tolle Möglichkeit den dezentralen Zugriff auf zentrale IT & Daten im Firmennetzwerk zu ermöglichen. Die grundsätzliche Funktionsweise und wichtige Hinweise habe ich bereits hier zusammengestellt. Doch die Technologie ermöglicht auch neue Angriffspunkte. Insofern sollten Sie überlegen, welche IT-Systeme und Daten vom Unternehmen über VPN erreichbar sein müssen und welche Sicherheitsrisiken damit entstehen können.

Weiterlesen