Kosten von Governance, Risikomanagement und Compliance ( ... / 2.2 Phase 2: Systemaufbau

Wenn auf der ersten Station beschlossen wurde, ein GRC-System Risikomanagementeinzurichten, wird im nächsten Schritt das System aufgebaut. Dazu sind komplexe Überlegungen, Untersuchungen und Entscheidungen notwendig. Jetzt beginnt das eigentliche Projekt mit typischer Projektarbeit.

Während der Phase des Systemaufbaus werden die Aufgaben in verschiedenen Schritten gegliedert und ausgeführt:

• Die einzelnen Bereiche des Unternehmens werden auf Gefährdung bezüglich des Risikomanagement und der Befolgung gesetzlicher oder wissenschaftlicher Regeln geprüft. Dabei wird eine Istaufnahme des derzeitigen Zustands in Form von Abläufen, Hierarchien, Informationsflüssen und anderen Regeln durchgeführt.

• Die Istsituation wird bewertet. Der Handlungsbedarf wird ermittelt. Dabei kann die gleiche Ausgangssituation aufgrund unterschiedlicher Risikobereitschaft durchaus unterschiedlich kritisch gesehen werden.

  Praxis-Beispiel

  Mitarbeiterverlust

  Der Leiter der Entwicklungsabteilung hat eine Kündigungsfrist von nur 3 Monaten zum Monatsende. Auf ihn konzentriert sich fast das gesamte Know-how zu den Produkten. Die Gefahr besteht, dass dieser Mitarbeiter kündigt und nach kurzer Zeit das Unternehmen verlässt, ohne das Know-how weitergeben zu können.

  Für den einen Geschäftsführer ist das Risiko für sein Unternehmen zu hoch. Er verlängert die Kündigungsfrist auf 6 Monate, muss dafür allerdings auch Zugeständnisse in Form einer Gehaltserhöhung machen.

  Ein anderer Geschäftsführer sieht in der gleichen Situation sogar eine Chance, einen neuen Mitarbeiter möglichst unbeeinflusst mit der Aufgabe vertraut zu machen. Die so entstehende neue Sichtweise bringt für ihn mehr Vorteile als der Verlust des Know-how Nachteile bringt.

• Aufgrund der Bewertung wird ein Handlungsbedarf ermittelt. Neue Strukturen und Abläufe verbessern die Situation und erhöhen die Sicherheit des Unternehmens. Dazu müssen entsprechende Regeln ausgearbeitet werden.
• Die neue Organisation muss umgesetzt und mit Leben gefüllt werden.

Das alles sind Aufgaben, die einen hohen Grad an Detailwissen und Spezialisierung haben. In der Regel benötigt ein Unternehmen dazu externe Hilfe. Das lässt die Kosten des Projekts stark ansteigen. Eine vernünftige Überwachung der entstehenden Kostenarten ist notwendig,

Beratungskosten

In dieser Phase des Projektes fallen die meisten Beratungskosten an. Neben den reinen Beratungskosten können auch Reisekosten und Kosten für Kommunikation und Sachmittel berechnet werden. Externe Unterstützung wird vor allem dann notwendig, wenn die Systeme nach den bekannten Standards (z. B. ISO 19600) eingeführt werden sollen.

Personalkosten

Im Projekt selbst arbeiten immer auch eigene Mitarbeiter an den Projektaufgaben. Zumindest muss die Führung der externen Dienstleister erledigt werden. Weitere Mitarbeiter müssen Informationen für die Beschreibung des aktuellen Zustandes und eventueller Risiken und Schwachstellen liefern. Dazu werden sie in Interviews von den Projektmitgliedern befragt oder müssen Dokumente zusammenstellen. Die dafür aufgewendete Zeit wird erfasst und den Projektkosten zugeordnet.

Wichtig

Betriebliche Beauftragte berücksichtigen

In den meisten Unternehmen gibt es bereits eine Reihe von Beauftragen, z. B. für Datenschutz, Arbeitssicherheit oder Umweltschutz. Diese Beauftragten sollten in ein GRC-System einbezogen werden. Schließlich entlasten sie die Geschäftsführung auch in Bezug auf Verantwortung und Arbeitsanfall. Allerdings dürfen ihre Kosten nicht doppelt berücksichtigt werden.

Ausbildungskosten

Sollen eigene Mitarbeiter in dem Projekt verantwortlich mitarbeiten, müssen sie über entsprechende Fachkenntnisse verfügen. In vielen Fällen, vor allem in kleinen und mittleren Unternehmen, müssen sie diese Kenntnisse erst noch erwerben. Dabei entstehen Ausbildungskosten. Der Besuch von Seminaren und Kongressen gehört dazu, auch der Zugriff auf Fachinformationen.

Sachkosten

Für die Schaffung und den Betrieb von GRC-Systemen gibt es inzwischen effektive IT-Programme und Internet-Portale. Auch die Projektdurchführung kann mit IT-Unterstützung (z. B. MS-Project) gestaltet werden. Die dabei entstehenden IT-Kosten sind Sachkosten. Andere Kostenarten werden, wenn überhaupt, nur in geringem Umfang anfallen. Die Arbeit mit einer Kostenpauschale ist in der Praxis eine erprobte Methode.