Menschen sind bekanntlich höchst unterschiedlich. Es gibt nette und offene, eckige und sperrige oder gar aufbrausende und aggressive Zeitgenossen. So spielt das Leben. Und im privaten Umfeld kann man es sich vielfach aussuchen, Menschen in seinen Kontaktkreis einbinden, „Servus“ sagen oder gleich einen großen Bogen um manche Menschenkinder machen.

Problematisch wird das Ganze im beruflichen Umfeld – sprich auch Organisationen bilden im Endeffekt nur einen Querschnitt der Gesellschaft. Als Tummelplatz der Eitelkeiten bewegen sich in Unternehmen die Rechthaber, Bedenkenträger oder Verfechter der eigenen Abteilungswagenburg. Sie tun vieles, nur nicht im Sinne der Gesamtorganisation denken oder handeln. 

 

Gelebte Risikokultur in Unternehmen 

So kann beispielsweise aus einer geringen emotionalen Bindung an das Unternehmen – neben dem grundsätzlichen Risiko, dass Unternehmensziele in Ermangelung hinreichend motivierten Personals verfehlt werden – auch die Gefahr einer mangelnden Akzeptanz und Unterstützung eines betrieblichen Risiko- und Compliance Managements resultieren. Denn eine (gelebte) Risikokultur basiert immer auf einer entsprechenden Unternehmenskultur. In dem Spannungsfeld der „Visionäre und Missionare“ und  „Emigranten“ bewegt sich auch das Risikomanagement, um für den „Mehrwert“ dieser Aufgabe in der strategischen und operativen Steuerung zu werben (vgl. Abbildung).

 

Verschiedene Mitarbeitertypen

 

 

Abb.: Eine möglich Verteilung von „Mitarbeitertypen“ [Quelle: Vahs, D.: Organisation – Einführung in die Organisationstheorie und -praxis, Stuttgart 2007, S. 330]

 

 

 

 

Im Sinne von Missionaren versuchen die Verantwortlichen für Risiko- und Compliance Management auch die anderen Organisationsmitglieder von der Notwendigkeit der Veränderung zu überzeugen und mit Hilfe von „visionären Zukunftsbildern“ für eine aktive Mitarbeit zu gewinnen. Erste Erfolge haben sie damit vor allem bei den aktiven Gläubigen, die den bevorstehenden Wandel für sich akzeptieren und bereit sind, ihre Arbeits- und Überzeugungskraft einzusetzen, um die Ideen in die Organisation zu tragen. Demgegenüber sind die Opportunisten zunächst einmal auf der Suche nach ihren persönlichen Vor- und Nachteilen, die ein Wandel mit sich bringen könnte. Während sie sich gegenüber ihren veränderungsbereiten Vorgesetzen positiv über die neue Organisation, den Kulturwandel oder ähnliches äußern („schon lange überfällig“, „hervorragend geplant“ etc.), verhalten sie sich gegenüber ihren Kollegen und Mitarbeitern eher kritisch und zurückhaltend („ob das funktioniert“, „ziemlich schwierig“). Allerdings folgen in der Regel auf die Worte weder in positiver noch in negativer Hinsicht Taten.

 

GRC-Lösung: Akzeptieren, Verstehen und Umsetzen

Man kann dieses Verhalten bereits als schwache Form des Widerstands bezeichnen. Die Mehrheit der Mitarbeiter kann in fast allen Unternehmen zur Gruppe der Abwartenden und Gleichgültigen gezählt werden. Sie handeln vor allem nach dem Motto „Das haben wir doch schon mehrmals erlebt, und am Ende ist alles beim Alten geblieben.“ Zu den aktiven Gegnern der Veränderung zählen zum einen die Untergrundkämpfer und zum anderen die offenen Gegner.

 

Die passende GRC-Lösung finden

Nur eine Gesamtsicht auf Governance, Risk und Compliance (GRC) ermöglicht eine Akzeptanz und erfolgreiche Umsetzung in der Organisation.

 

Die Beispiele, die uns täglich begegnen, sind vielfältig: Schmiergeldzahlungen an potenzielle Auftraggeber, Zulieferer mit miserablen Produktionsbedingungen, Umweltskandale, Datendiebstähle im eigenen Unternehmen aufgrund von Unachtsamkeit oder eigene Mitarbeiter als Dampfplauderer zu sensiblen Zahlen und Fakten in der Öffentlichkeit (siehe den Beitrag Neulich in der U-Bahn…). Im Klartext heißt das, Organisationen stehen heute vor immensen Herausforderungen im Umgang mit einer facettenreichen und extrem komplexen Risikolandkarte. Für ein strukturiertes und methodisch fundiertes Vorgehen bieten vor allem sogenannte GRC-Lösungen eine wertvolle Unterstützung.

 

Vom Tool …

Um die Gesamtsicht auf organisationsweite Risiken zu wahren, diese in einer individuellen Prozesssicht zu verankern und vorausschauend zu managen, bieten sich GRC-Lösungen an. Dank dieser können Unternehmen die drei Bereiche Governance, Risikomanagement und Compliance durchgängig sowie integriert betrachten und steuern.

 

Grundvoraussetzung für einen solchen Gesamtprozess ist die Wahl der richtigen Lösung. Mittlerweile gibt es eine ganze Reihe geeigneter und etablierter IT-Werkzeuge (unter anderem risk2value) auf dem Markt, um GRC durchgängig und zielführend in der eigenen Organisation zu integrieren. Bezeichnend ist in diesem Kontext, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die weitere Entwicklung des BSI-eigenen Tools GSTOOL in der Version 5.0 eingestellt hat. Als Begründung schreibt das BSI: „Diese Entscheidung wurde insbesondere vor dem Hintergrund getroffen, dass Produkte am Markt vorhanden sind, die bereits eine Vielzahl der Anforderungen des BSI an ein IT-Grundschutz-Tool erfüllen. Daher wird das BSI nun die am Markt verfügbaren Tools mit explizitem Bezug zur IT-Grundschutz-Methodik auf ihre funktionale Eignung prüfen und Aussagen zur Verwendbarkeit der einzelnen Lösungen treffen.“

 

Wichtig ist, dass sich neben gesetzlichen Vorgaben (unter anderem ISO 27001, IT-Grundschutz oder CobiT), Best-Practice- und interne Standards sowie IT-Sicherheitsvorkehrungen und weitere Faktoren wiederfinden. Seien es neue technische Entwicklungen, wie beispielsweise Cloud Computing oder Social-Media-Anwendungen oder der mobile „Endgerätefuhrpark“ in den Unternehmen (Stichwort: Bring Your Own Device, BYOD).

  

All diese Elemente und Risikobereiche müssen sich in Organisation und einem dementsprechenden Tool abbilden und vor allem vorausschauend steuern lassen. Was bis dato vielleicht in einzelnen Silos und Insellösungen redundant überwacht, bearbeitet und dokumentiert wurde, muss in eine gesamtheitliche GRC-Lösung einfließen.

 

Das bedeutet, dass vor der Einführung einer GRC-Lösung eine genaue strategische Vorgehensweise und Ausrichtung feststehen sollte. Das Ziel dahinter ist klar formuliert: Ein zukunftsweisendes Chancen- und Risikomanagement über die gesamte Organisation aufbauen – im Dreiklang von GRC.

 

… zum Menschen und dessen Handeln

Trotz aller Software- und Prozessunterstützung in den eigenen Reihen ist ein besonderes Augenmerk auf die eigenen Mitarbeiter zu legen. Diese bilden die Basis jeder Veränderung – im Guten wie im Schlechten. Sollen sich GRC-Prozesse im Sinne der Organisation positiv durchsetzen, führt an den eigenen Mitarbeitern kein Weg vorbei. Diese frühzeitig in den Gesamtprozess einzubinden ist das oberste Gebot. Nicht umsonst sprechen Experten davon, dass Softwareunterstützung nur zu rund 30 bis 40 Prozent zum Erfolg in puncto Sicherheit, Risiko- und Compliance-Management beiträgt. 60 bis 70 Prozent hängen vom Zutun der eigenen Mitarbeiter ab. Demensprechend ist es für Unternehmen unabdingbar, bereits vor der Einführung einer möglichen Software den eigenen GRC-Bedarf genau abzuklopfen und Mitarbeiter, die Personalabteilung und den Betriebsrat in den Prozess zu involvieren. Wichtig: Das Thema ist als Chefsache Top-down zu initiieren und von der Leitungsebene mit hoher Priorität zu begleiten. Mehr noch müssen Geschäftsführer und Top-Manager die Einhaltung des Prozesses überwachen, hinterfragen und justieren. Hierzu gehört beispielsweise, dass die Leitungsebene den GRC-Gesamtprozess aktiv steuert.

 

Klare Kommunikation für eine neue Unternehmenskultur

Ein wichtiges Element ist eine klare Kommunikation mit allen Beteiligten und einem abgestimmten Vorgehen in kleinen Prozessschritten und einem zeitlich nicht zu knapp bemessenen Projektplan. „Keep it simple“, um das Management und die Mitarbeiter nicht zu überfordern, heißt die Devise. In Kombination mit klaren Prozess- und Risikoverantwortlichen können Unternehmen ein starkes Fundament für eine tragfähige GRC-Lösung aufbauen. Um die eigenen Mitarbeiter stärker im Umgang mit Risiken und Chancen zu sensibilisieren, sind interne Schulungsmaßnahmen und Awareness-Kampagnen ein elementarer Baustein. Denn nur über das Akzeptieren, Verstehen und Umsetzen im eigenen Arbeitsalltag kann eine Veränderungskultur entstehen. Und die mündet im Idealfall in einer neuen Unternehmenskultur für ein qualitatives Mehr an GRC und der dahinter stehenden Lösung.

 

Autor:

Frank Romeike, geschäftsführender Gesellschafter RiskNET GmbH, Gründer und Partner RiskNET Advisory & Partner sowie Chefredakteur der Zeitschrift RISIKO MANAGER.