Eine der interessantesten Aussagen, die ich kürzlich vom CEO eines großen Unternehmens hörte, betraf die Nützlichkeit und Notwendigkeit von GRC-Daten (Governance, Risk & Compliance). Welchen Mehrwert bringen diese auf der Ebene des Verwaltungsrats?
Einzelgänger
In allen Einzelheiten ausgeführte Excel-Listen, die aufzeigen, wo die Organisation keine vollständige Kontrolle über Risiken hat und wo Probleme aufkommen könnten, bringen wenig Mehrwert. Auch komplizierte Berechnungen, die aufzeigen, dass es zu möglichen Verlusten oder hohen Geldstrafen kommen kann, bringen nur Verwirrung, vor allem wenn sie nicht leicht nachzuvollziehen sind.
Selbstüberzeugung
Vieles wird aus der Perspektive der eigenen Theorie, des eigenen Fachgebiets und des eigenen Ziels dargestellt, um einen möglichst vollständigen Risiko-Rahmen zu schaffen. Aber was nützt das der Organisation? Und nicht zuletzt, wie trägt es zu den Plänen des CEOs bei?
Nach 20 Jahren der Umsetzung können wir darauf hinweisen, dass es entscheidend ist, mit den folgenden beiden Fragen zu beginnen. Welche Erwartungen hat der CEO bezüglich der Informationen, die GRC-Daten liefern? Und wie unterstützen diese Informationen den CEO? Gibt es hierauf keine eindeutigen Antworten gibt, dann warten Sie besser auf eine Erklärung ihres CEOs/ihrer Geschäftsleitung.
Anregende Fragen
Welche Informationen sind für den CEO essentiell und welche nicht? Wie sollen die Informationen präsentiert werden und in welcher Häufigkeit? Wann ist es sinnvoll, zu eskalieren? Welches Ergebnis erwartet der CEO? Welche Auswirkungen spüren Sie als Risikomanager? Wann wäre der CEO/die Organisation am besten unterstützt?
Darauf sollten Sie achten
Viele Organisation beschäftigen Risikomanager, Compliance-Beauftragte, Qualitätsmanager, CISOs, Datenschutzbeauftragte, ICT-Sicherheitsbeauftragte, Auditoren, Geschäftsverantwortliche, Prozessverantwortliche, Sicherheitsbeauftragte usw. – mit dem Ziel, den Ablauf der Organisation zu verbessern. Dabei will jeder einzelne dieser Mitarbeiter Informationen aus der Arbeitsebene, sowie die Aufmerksamkeit der Organisation und des Managements erlangen.
Werden Sie nicht zum Einzelgänger!
Wenn mehrere Parteien mit unterschiedlichen Vorstellung und Wünschen zusammenkommen, führt das schnell zu Chaos. Das lässt sich vermeiden, indem alle GRC bezogenen Daten gesammelt und organisiert werden, bevor man sie präsentiert. Denn die Umsetzung von GRC beginnt mit Unterstützung und Koordination. Dies schafft Klarheit über angestrebte Ergebnisse und darüber, wie diese durch Teamwork erreicht werden können. Denn mangelnde Teamarbeit führt zum Einzelgang.
Fragen Sie unseren Implementierungsplan an und machen Sie Teamarbeit zum Kinderspiel.
Einzelgänger