Und jetzt? Datenschutz fertig? Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig.
Viele Unternehmer denken, nach dem erfolgreichen Aufbau eines Risikomanagementsystems - sei es zum Datenschutz, zur Informationssicherheit oder zum Qualitätsmanagement - sei das Thema erledigt. In diesem Blogbeitrag zeigen wir auf, warum ein Risikomanagementsystem nie "fertig" wird.
Der PDCA-Zyklus ist nur eines von vielen Modellen zur Darstellung kontinuierlicher Managementprozesse. Eines ist allen gemein - man wird nie "fertig".
Der Aufbau eines Risikomanagementsystems ist teuer. Vor allem, weil man heutzutage ja gleich mehrere davon braucht. Diese Aussage würde wohl fast jeder mittelständischer Unternehmer unterschreiben. Umso größer ist daher in der Regel die Erleichterung, wenn man endlich "fertig" ist. Aber ist "fertig" wirklich fertig? Was kommt nach dem initialen Aufbau? Muss da überhaupt noch etwas kommen? Mit diesen Fragen befasst sich unser heutiger Blogbeitrag.
Risikomanagement im Mittelstand - Chance oder notwendiges Übel?
In aller Regel ist Risikomanagement bei den Mitarbeitern eher unbeliebt - ein Haufen Papier, jede Menge Verwaltungsaufwand, der nichts mit der eigentlichen Arbeit zu tun hat, Regeln, die einem das Leben schwer machen, usw.. Ohne würde alles viel besser laufen ist der vorherrschende Eindruck. Und zweifellos treffen diese Beobachtungen auch auf viele mittelständische Risikomanagementsysteme zu. Doch woran liegt das? An EU-DSGVO und ISO 27001? Oder an deren Umsetzung? Wir von yourIT haben etwas gegen diese umständlichen, papierlastigen Managementsysteme. Nicht nur, weil wir Digitalisierungsberater sind. Sondern vor allem, weil wir gelernt haben, dass die "Verwaltungsmonster" ihre Ziele nicht erreichen. Effektiver Datenschutz besteht nicht aus Dokumenten. Er besteht aus Mitarbeitern, die sich ihrer eigenen Persönlichkeitsrechte und der ihrer Kunden bewusst sind und diese ganz selbstverständlich achten. Er besteht aus Mitarbeitern, die ein Bewusstsein für Informationssicherheitsrisiken haben und diese bei ihrer täglichen Arbeit routiniert vermeiden. Diese Mitarbeiter erfüllen nicht nur die Anforderungen von EU-DSGVO oder ISO 27001, sie stellen auch sicher, dass das Unternehmen zuverlässig und effizient arbeitet - für zufriedene Kunden und volle Auftragsbücher. Gut gemachtes Risikomanagement ist also viel mehr als nur ein notwendiges Übel, es bietet die Chance, in allen Unternehmensbereichen schlanker, besser und damit erfolgreicher zu werden.
Kontinuierliche Veränderung oder warum "Datenschutz fertig" niemand wollen kann
Kein Unternehmen ist statisch. Wer sich nicht weiterentwickelt, verschwindet vom Markt. Dementsprechend unterliegen die Geschäftsprozesse auch und gerade im Mittelstand ständigen Veränderungen - Produkte werden weiterentwickelt, neu eingeführt oder vom Markt genommen. Produktionsmethoden verändern sich. Es werden neue Techniken eingesetzt und veraltete fallengelassen. Kundengruppen und ihre Ansprache wechseln. Und die Risikomanagementsysteme sollen einmal aufgebaut einfach bestehen bleiben? Das kann nicht funktionieren.
Im Blogbeitrag von vergangenem Dienstag haben wir erläutert, warum professionelles Risikomanagement heutzutage nicht nur ein wertvolles Marketinginstrument, sondern in vielen Bereichen schlicht Voraussetzung für das Bestehen am Markt ist. Ein statisches Risikomanagement würde binnen weniger Monate, manchmal binnen Wochen, veralten und könnte seine Funktion als Qualitätsmerkmal der Produkte und Dienstleistungen des Unternehmens nicht mehr erfüllen. Es ist also schon aus rein unternehmerischer Sicht unvermeidlich, das Risikomanagement laufend weiterzuentwickeln - parallel zu den restlichen Geschäftsprozessen.
Ob EU-DSGVO oder ISO - auch die Normen verlangen Kontinuität
Die kontinuierliche Aktualisierung und Weiterentwicklung ist nicht nur unternehmerisch sinnvoll, sie ist auch vorgeschrieben - sowohl gesetzlich wie auch in den einschlägigen Industrienormen. Hier zwei Beispiele:
- Artikel 5 EU-DSGVO regelt die Grundsätze für die Verarbeitung personenbezogener Daten. Das bedeutet in der Praxis: Die Regeln aus Abs. 1 müssen die Unternehmen für jedes einzelne personenbezogene Datum einhalten. Jederzeit. Und Abs. 2 verpflichtet sie dazu, über die Einhaltung dieser Regeln Rechenschaft ablegen zu können. Auch jederzeit. Ohne ein aktuelles, kontinuierlich geführtes Datenschutzmanagementsystem ist das schlicht nicht möglich. Datenschutz muss in den praktischen Geschäftsprozessen verankert werden und sich mit ihnen entwickeln.
- Control 4.4 der ISO 27001 verpflichtet die Organisation, ein Informationssicherheitsmanagementsystem aufzubauen, zu verwirklichen, aufrecht zu erhalten und fortlaufend zu verbessern. Die Konsequenzen für die Praxis ergeben sich schon aus dem Wortlaut: Das ISMS muss nicht nur (einmal) aufgebaut werden. Es muss auch im Unternehmen gelebt (verwirklichen) und laufend aktualisiert (aufrecht erhalten) werden.
Die Herausforderung: Risikomanagement leben
Ob Datenschutz, Informationssicherheit oder Qualitätsmanagement - die dahinterstehenden Risiken und Schutzziele sind für den "normalen Mitarbeiter" in der Regel sehr abstrakt. Die Kunst eines guten Risikomanagementsystems besteht deshalb in der Umsetzung einer dauerhaften, niederschwelligen 2-Wege-Kummunikation. Informationen über die praktischen Geschäftsprozesse und ihre Risiken müssen kontinuierlich aus allen Unternehmensteilen in die Managementsysteme fließen. Und Risikobewusstsein und praktische Schutzmaßnahmen von diesen zurück in die Fachabteilungen.
Benötigen Sie Unterstützung beim kontinuierlichen Betrieb Ihrer Managementsysteme? Kein Problem! Wir machen Risikomanagement mittelstandstauglich - effizient, verständlich und individuell skalierbar.
Das könnte Sie auch interessieren:
- 25.01.2022: Uns passiert schon nichts...
- 08.02.2022: Link zu Blogbeitrag
- 15.02.2022: Link zu Blogbeitrag
Special THÄNX @ THE Ä-TEAM für die Gestaltung des "THE PDCÄ"-Logos in THE LÄND Edition! Wir freuen uns über die Nutzungserlaubnis.
