„Leseprobe“ - GMRC · Behörden (beck-aktuell vom 14.07.2016). 2 Vgl. die Ausstrahlung auf die...

Integriertes Ziele-, Organisations-, sowie Steuerungs- und Überwachungs-Management

Dokument: Integriertes Ziele-, Organisations-, sowie Steuerungs- und Überwachungs-Management

Dokument freigegeben von: Prof. Dr. jur. Josef Scherer Stand: 27.02.2017 / Revision: 5

Dokument erstellt von: Josef Scherer Dokument-Nummer: Ablage:

Seite 1 von 81

„Leseprobe“

aus

Scherer / Fruth (Hrsg.),

Integriertes Ziele-, Organisations-, sowie Steuerungs-

und Überwachungs-Managementsystem

„Business Case 4.0“,

2017

Herausgeber:

Prof. Dr. jur. Josef Scherer Richter am Landgericht a.D. Rechtsanwalt Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht Leiter des Internationalen Instituts für Governance, Management, Risk & Compliance der Technischen Hochschule Deggendorf Mitglied des DIN-Normenausschusses Dienstleistungen (NADL) NA 159/ Arbeitsausschuss Personal-Management (NA 159-01-19AA) zur Erarbeitung von ISO/DIN-Standards im Personalmanagement

Klaus Fruth Richter am Amtsgericht Lehrbeauftragter an der Technischen Hochschule Deggendorf





Seite 2 von 81

Inhaltsverzeichnis

E.1 Veränderte Umfeldbedingungen und Verunsicherung bei Management und Mitarbeitern 4

E.2 Haftungsverschärfung 12

E.3 Marktzugangshürden und Berufsausübungshemmnisse 13

E.4 „Compliance beherrscht BWL“ 13

E.13 Input / „line of action“ / output : Das gleiche Schema in jedem Prozessthemenbereich

(z.B. QM/ Risk/ Einkauf/ etc.) 14

2 Die Ziele des unternehmerischen Handelns 22

2.1 Primärziel: Existenzsicherung 22

2.2 Weitere Ziele 25

2.3 Ort des „unternehmerischen Handelns“ 25

3 Ziele von Managern und Unternehmen 26

3.1 Die Plan/Do/Check/Act-Methode: Planung und Ziele, Steuerung und Überwachung 26

3.2 Die „Maslow-Pyramide“ mit Zielen für Manager und Unternehmen 28

3.3 Unternehmensziele: Zwingende und fakultative Ziele 30

3.4 Zwingende Vorgaben („Aktueller Stand von Gesetzgebung und Rechtsprechung“) 33

3.4.1 Dezidierte Vorgaben 33

3.4.2 Unbestimmte Rechtsbegriffe (z.B. Organisationspflicht) 33

3.4.3 Gewissenhafte Unternehmensführung 34

3.4.4 Unterfall der gewissenhaften Geschäftsleitung: Handeln nach „Anerkanntem Stand von

Wissenschaft und Praxis“ 35

3.5 Um welche Themengebiete hat sich der Manager (Vorstand/ Geschäftsführer/

Aufsichtsrat etc.) zu kümmern? 36

4 Die wichtige Funktion des (Compliance-) Risikomanagements bei Planung

und Zielsetzung sowie Steuerung und Überwachung 38

5 Unternehmensvision, Mission, Leitbild, Ziele, Strategie, Planung 39

5.1 Analysen (Unternehmen, Umfeld, interested parties) und Bewertung 39

5.1.1 Unternehmensanalyse (organizations internal context) 42

5.1.2 Umfeldanalyse (organizations external context) 43





Seite 3 von 81

5.1.3 Darstellung und Bewertung der Anforderungen der „interessierten Gruppen“ (Organe und

„sonstige Stakeholder“) 44

5.1.4 Bewertung (z. B. durch SWOT-Analyse) 46

5.2 Unternehmensrahmen mit Zielen und Strategie 47

5.3 Prozessziele 48

5.4 Zielvereinbarungen 50

6 Organisation (6 ORGA) 51

6.1 Implementierung (DO 1) – Prozessorientierte Organisation 51

6.1.1 Output der Prozesse: Prozessziele 51

6.1.2 Gesamtüberblick: Dynamische, prozessorientierte Organisation 52

6.1.3 Beispiel: Optimierung des Vertriebsprozesses – Schaffung von (finanziellen)

Wertbeiträgen und Rechtssicherheit 54

6.1.4 Beispiel: Prozessbeschreibungen/ Prozess-Sheets 56

6.1.5 Prozessanreicherung und -anpassung bei sich ändernden Rahmenbedingungen und

Anforderungen 59

6.2 Herbeiführung der Wirksamkeit/ Umsetzung („Do (2)“) 67

6.3 Steuerung und Überwachung („3.Check“) 67

6.3.1 Das „Das Lines of defense“-Modell 72

6.3.2 Was wollen alle „four lines“ respektive alle Überwacher wissen? 74

6.3.3 Die vielen „Welten der Überwacher“ 76

6.3.4 Alle „Überwacher“ orientieren sich an sehr ähnlichen Referenz- oder Sollgrößen 78





Seite 4 von 81

E.1 Veränderte Umfeldbedingungen und Verunsicherung bei Management und Mitarbeitern

„Tempora mutantur, nos et mutare debemur (!) in illis“ (abgewandeltes Sprichwort):

Die Zeiten ändern sich und wir müssen uns mit ihnen ändern!

Was ist neu an Governance, Compliance, Risiko-, Qualitäts-, Ziele- sowie Steuerungs- und

Überwachungsmanagement?

(Corporate) Governance heißt Grundsätze ordnungsgemäßer (pflichtgemäße) Unternehmensführung

(GoU) und

-überwachung (GoÜ).

Compliance bedeutet pflichtgemäßes Verhalten in Hinblick auf allgemein verbindliche Regeln (Gesetze,

Rechtsprechung), aber auch in Hinblick auf für verbindlich erklärte (interne) Vorgaben [z.B. Regelungen aus

dem „Code of Conduct“ (unternehmensspezifische Verhaltensregelungen) oder Anstellungsvertrag].

Risikomanagement bedeutet die Bewertung und die Steuerung von Unsicherheiten, die die Zielsetzung und

Zielerreichung betreffen.

Qualitätsmanagement bedeutet die Ausrichtung von Produkten und Leistungen auf Kundenanforderungen

sowie rechtliche und sonstige Anforderungen, um Kundenzufriedenheit zu erzielen.

Zu Ziele-Management sowie Steuerungs- und Überwachungsmanagement siehe unten.

These:

Das Umfeld und die Anforderungen an unternehmerische Betätigung haben sich in den letzten Jahren

grundlegend verändert.1 Dies erfordert eine grundlegende Anpassung von Strukturen im Bereich der

Unternehmensführung und –überwachung sowie bei den Kompetenzen und Entscheidungen (Business

Judgement Rule!) von Management und Mitarbeitern.

All das birgt auch Chancen in Bezug auf Wertbeiträge und Wettbewerbsvorteile.

An den Beispielen

der neuen ISO 9001:2015 (Qualitäts-Managementsystem)2,

der COSO II:2017 (?) (Aligning Risk with Strategy and Performance/ Risikomanagementsystem),

1 Vgl. die aktuellen „Megatrends“, die regelmäßig von „Zukunftsforschern“ bewertet werden; vgl. auch Bayern LB Research, o.V., „Megatrends“, 4/2016, S.14: Politische Rahmenbedingungen und Regulatorik seien kein neuer Trend, da sie seit Beginn der Zivilisation an gebraucht wurden, um das Zusammenleben von Menschen zu regeln. Dennoch wurden diese Themen als relevanter Megatrend bewertet, da sie „in einer zunehmend globalisierten und komplexen Wirtschaftswelt stark an Bedeutung gewonnen, auch weil sich das Tempo ihrer Veränderung stetig erhöht“ haben. Zu diesen Themen zählen internationale Handelsabkommen, Geld- und fiskalpolitische Weichenstellungen, politischer Zusammenhalt von supranationalen Organisationen (EU, NATO, etc.), Regulierung. Bzgl. politischer Rahmenbedingungen geht es um Systeme (Markt- oder Planwirtschaft, Demokratien oder autoritäre Staatsformen), Rechtsordnungen u.v.m. Dies alles hat wieder Einfluss auf Themen wie Korruption und (Wirtschafts-)Kriminalität, die wiederum unternehmerische Aktivitäten erheblich beeinflussen. Erheblich sei auch die Planungssicherheit bzgl. der Einhaltung von Verträgen und Absprachen und Rechtsdurchsetzungsmöglichkeiten. Als Beispiel für den Trend „Industrie 4.0“ und Digitalisierung vgl. das am 13.07.2016 vom Bundeskabinett beschlossene „E-Rechnungs-Gesetz“ als Teil der E-Government-Strategie der Bundesregierung: Die 2018/ 2019 in Kraft tretenden Regelungen ermöglichen die elektronische Rechnungsstellung durch Unternehmen an staatliche Behörden (beck-aktuell vom 14.07.2016). 2 Vgl. die Ausstrahlung auf die jeweiligen Branchen (Gesundheitswesen, Lebensmittel, Luftfahrt, Automotive, z.B. IATF (ISO TS) 16949:2016 (QM im Automotive-Bereich)).





Seite 5 von 81

der G20/OECD Principles of Corporate Governance (11/2015) und

des neuen Versicherungsaufsichtsgesetzes (VAG), das zum 01.01.2016 in Kraft trat3,

sowie der Prüfungsstandards für

Risikomanagement (IDW PS 981),

Internes Kontrollsystem (IDW PS 982) und

Revision (IDW PS 983),

werden die aktuellen Anforderungen an einen integrierten GRC-Ansatz und praxisorientierte

Lösungen für eine moderne, prozessorientierte Unternehmensorganisation und ein

Integriertes „Kombi-Managementsystem on demand“ vorgestellt.

These:

In den letzten Jahren stieg auch der häufig noch zu wenig beachtete Einfluss der sogenannten

„interested parties“ (Organe und sonstige Stakeholder) auf Reputation und Existenz von Unternehmen

und Entscheider enorm.

These:

Es zeigt sich, dass das (globale) Wirtschaftsleben in weiten Teilen von Legislative und Judikative

infiltriert ist. Dieser (globale) rechtliche Rahmen („global Compliance“) stellt die Grenzen bzw.

Leitplanken für Digitalisierung, Industrie 4.0, vernetzte und integrierte Management- und IT-Systeme

sowie „Technik-Governance“ und „Telematik“ (Verflechtung von Informations- und

Telekommunikationsmanagement) dar.

3 Das neue VAG führte zum Entfallen der MaRisk VA, dafür aber zur geplanten Einführung der Mindestanforderungen an die Geschäftsorganisation (MaGO)





Seite 6 von 81

Nicht der Wind bestimmt den Kurs, sondern das Segel! (chinesisches Sprichwort-nach Seneca?)

Abbildung 1: Das Unternehmensschiff.

1. Analyse:- Unternehmen- Umfeld- Anforderungen der "interested parties"

Chancen

Gefahren

Aufsichtsorgan

(Aufsichtsrat/ Beirat)

Gesellschafter

„interested parties”

3 Governance IZusammenspiel der Organe

Governance IIUnternehmensführung

Governance IIIUnternehmensüberwachung

2 Das Management

4 Integriertes Managementsystem

RISK

5

Vision/ Ziele/ STrategie

6

Organisation

7

Finanzen/ SteuernVersicherungen

8Personal

9Risikomanagement

10

Compliance & LegalExterne Rechtsabteilung

15

IT-Management

16

Information/ KommunikationBerichtswesen

17

Wissens-/ Dokumentations-management

11

Forschung und EntwicklungInnovationsmanagement

12

Beschaffung/ Einkauf 13

Leistungserbringung14

Marketing/ Vertrieb

18

Rechnungswesen/ Controlling

19

Qualitätsmanagement

21

Business Continuity/ Restrukturierung

Sanierung

22

Sonstige(Logistik/ Projekt-

management/ etc.)

Compliance-Fahne

Rechtlicher Rahmen für die Betätigung

des Unternehmens / der Organisation

20

Security/ Safety

§§

Risk Radar

Erkennung von Gefahren und Chancen, die zur Kursabweichung

führen können und Reaktionsmaßnahmen

RISK





Seite 7 von 81

Hinweis:

Die unterlegten Felder werden in diesem Band besonders beleuchtet.

Idealerweise deckt sich pflichtgemäßes Verhalten mit „vernünftigem Verhalten“,

so, wie ein Bauarbeiter heutzutage von selbst und freiwillig Schutzkleidung (Helm / Sicherheitsschuhe /

etc.) trägt und auf Alkohol auf der Baustelle verzichtet.

Oder ein Autofahrer sich angurtet.

Oder ein Vereinsvorstand den ehrenamtlichen Mitgliedern nicht unberechtigte Spendenquittungen

ausstellt.

Oder vor der Vergabe von Aufträgen die Vertragspartner (Lieferanten) „gecheckt“ werden in Hinblick auf

Compliance, Qualität, Risiko, Nachhaltigkeit, Scheinselbständigkeit, etc. ….

Das war – zum Teil – früher anders!

Die letzten Jahre hat sich da viel verändert! Fallen Ihnen weitere (positive?) Beispiele ein?

Das „Neue“ an Governance, Risiko- und Compliancemanagement (GRC) ist, dass nicht – wie früher

üblich – nur gelöscht wird, wenn es brennt und dann (reaktiv!) gewartet wird, bis es wieder brennt (-so

werden bis heute noch Juristen ausgebildet).

GRC kümmert sich gleich nach dem Brand um Brandschutz, damit es nicht nochmal brennt. Oder noch viel

besser: Gleich, bevor es überhaupt brennt, sorgt es proaktiv für Brandschutz. Und:

Ein funktionierendes „Brandschutzsystem“ (der Nachweis, dass gesetzliche, behördliche und

interested-parties (z. B. Kunden, Aufsichtsfunktionen, etc.) -Anforderungen erfüllt werden) ist schließlich

Voraussetzung für die Erlaubnis, das Unternehmen zu betreiben!

These:

Governance, Risk und Compliance heißt, nicht nur zu reagieren, sondern auch, durch Prophylaxe den

Eintritt von Pflichtverletzungen, Schadens- und Haftungsfällen zu vermeiden und den Zugang zu

Markt und Kunden und die unternehmerische Tätigkeit an sich zu ermöglichen.

In vielen Unternehmen werden viele Ressourcen (Zeit / Geld / Nerven) verschwendet, um Symptome

(Problemfälle) zu kurieren. Dabei ist es primär wichtig, die Ursachen für Probleme zu kennen und diese zu

beheben, damit es gar nicht erst zum Problemfall kommt.





Seite 8 von 81

Abbildung 2: Ursachen und Symptome.





Seite 9 von 81

Probleme bei den Basics:

Falls nachfolgende Themen den Unternehmensalltag erheblich beeinflussen, liegt ein

„systemisches“ Problem vor:

Was in der Praxis alles nicht klappt: Bitte ankreuzen, falls eine Aussage auch auf Ihr

Unternehmen, Ihre Abteilung zutrifft.

1Nicht passende Tools / Methoden: Tool / Methode passt nicht zum

Problem oder ist generell untauglich

2Fehlendes Generalgrundwissen mit einschlägigen Spezialwissen und

mehrdimensionales Denken in diversen Fachdisziplinen (Recht /

Technik / BWL / Psychologie / etc.)

3Zu wenig Blick in die Zukunft und über Tellerand / Planung (Business

Plan / fehlende oder unzureichende Planungen in den relevanten

Bereichen / etc.)

4 Fehlende Softskil ls

5Zu wenig „Unternehmer im Unternehmen“ (Risiko- und

chancenorientiertes unternehmerisches Denken / Entscheiden /

Handeln)

6Fehlende Vorbildfunktion oder Fähigkeiten beim Management: "Der

Fisch riecht vom Kopf weg" ("Tone from the Top")

10Falsche Leute auf falschen Posten (die Organisation richtet sich nach

vorhandenen Personen, statt primär Schaffung optimaler Strukturen

und danach Besetzung der Stellen mit den passenden Leuten)

7 Inkonsequentes Führungsverhalten

8 Bauchentscheidung statt schnelles und langsames Denken

9 Abteilungsegoismus statt funktionierende Schnittstellen

Abbildung 3: „Was in der Praxis alles nicht klappt!" (Pkt. 1 - 10).





Seite 10 von 81

18Überwiegendes Lösen unnötiger Probleme (80%) statt Entwicklung von

Innovationen, kreativen Strategien (20%) ("Pareto verkehrt")

19"Versumpfen" in Besprechungen / Erstellung von Konzepten und Fehlen

einer stringenten Umsetzung (Steuerung): "Man müsste mal…"

20 Etc.

15Unzureichende Kontrollmaßnahmen (If you can't measure it, you can't

manage it)

16 Mangelhafte Transparenz

17 Unklare Zuständigkeiten

14Eigenmächtige Abweichung von vorgegebenen optimierten Prozessen

aus unterschiedlichen Gründen (z.B. fehlendes Wissen, fehlende

Akzeptanz) oder gar einfach fehlende oder schlechte Prozesse

11 Schlechtes Zeitmanagement (Priorisierung der weniger wichtigen Dinge)

12Mangelhafte Kommunikation und fehlendes Verständnis für

Begriffl ichkeiten / Methoden / etc.

13Fehlendes Anreiz- und Sanktionssystem und geringe Motivation bzw.

Loyalität

Abbildung 4: „Was in der Praxis alles nicht klappt!" (Pkt.11- 20).





Seite 11 von 81

Sollten Sie mehr als 5 Kreuze gesetzt haben, besteht Bedarf für ein gelebtes, integriertes

Managementsystem!

Haftungsverschärfung und Verunsicherung beim Management durch wachsende Komplexität der

rechtlichen Anforderungen an Unternehmen und Unternehmer

Fragen und Unsicherheit bzgl. rechtssicherer, effektiver und effizienter Organisation:

Was ist „gute Unternehmensführung“ nach anerkanntem Stand von Wissenschaft und Praxis?

Was ist dabei konkret wie zu erfüllen („das Richtige richtig tun“)?

Wie kann das – mit überschaubarem Aufwand – umgesetzt werden?

Welche integrierten (IT)-Lösungen sind zu entwickeln, um den neuen und künftigen Anforderungen

gerecht zu werden und um Management und Mitarbeiter zu unterstützen, pflichtgemäß, nachhaltig und

erfolgreich zu agieren?





Seite 12 von 81

E.2 Haftungsverschärfung

These:

Die „gefühlte“ Verschärfung von Haftungs- und Sanktionsgefahren für Vorstände, Geschäftsführer,

Aufsichtsräte und sogar Gesellschafter mit dem Vorwurf, pflichtwidrig gehandelt zu haben, ist objektiv

messbar:

Im 10-Jahreszeitraum 1986-1995 gab es genauso viele Urteile zur Managerhaftung wie in den

letzten 100 Jahren zuvor. Für die nachfolgenden 10-Jahreszeiträume 1996-2005 und 2006-2015 wurde

eine nochmalige Verdoppelung gemessen bzw. geschätzt (2006 - 2015)!4 Da sich der „Wind gedreht“ hat

und „Compliance-Verstöße unter Einbeziehung des D&O-Versicherers heute verstärkt geahndet werden“5,

war die Organhaftung Thema der wirtschaftsrechtlichen Abteilung des 70. Deutschen Juristentages 2014.

Bayer6 statuiert, der GmbH-Geschäftsführer sehe sich tatsächlich immens existenzbedrohender

persönlicher Risiken ausgesetzt und hafte – faktisch – sogar viel schärfer als ein Vorstand, weil

Geschäftsführer in Mittelstandsunternehmen nicht über „vergleichbare Qualität an sachverständiger

Beratung und Hilfestellung verfügen, die heute zur Abwehr rechtlich relevanter Sorgfaltsverstöße nach

Maßgabe der höchstrichterlichen Rechtsprechung notwendig ist. Den Anforderungen, die heute an einen

Geschäftsführer gestellt werden, lässt sich in der Praxis kaum gerecht werden“. Sogar der im Großen und

Ganzen pflichtbewusst Agierende sehe sich nicht nur mit zivilrechtlichen Risiken, sondern auch der

Gefahr der Strafbarkeit immer häufiger bedroht.7

These:

Dabei hat sich der Entscheider nicht einmal zwingend auf dem „neuesten Stand der Wissenschaft“, sondern

lediglich auf dem „anerkannten Stand“ als Mindestniveau zu bewegen. Diese Aussage bezieht sich aber

nicht nur auf technisch physikalische Themen, sondern ebenso u.a. auf rechtliche und

betriebswirtschaftliche Methoden und Werkzeuge. Das heißt, dass anerkannte und praktizierte

Management-Methoden die Messlatte für pflichtgemäßes Verhalten oder Pflichtverletzung darstellen.

Die Rechtsprechung sanktioniert z. B. die Nichtabführung von Sozialversicherungsbeiträgen (§ 266a

StGB) sehr stark: Dabei geht es häufig nicht um bewusst kriminell begangene Taten, sondern um fehlende

Sensibilität und Qualität der Organisation bei den Verantwortlichen: So gibt es Grenzbereiche bzw.

Unsicherheiten in der Praxis bei Scheinselbstständigkeit und Flexibilität bei „Gering-Verdiener-Jobs“, die

zur Haftungsfalle für Manager werden:

Beispiel: „Scheinselbstständigkeits-Fall“:

Verurteilung eines 79-jährigen Senior-Chefs und Firmengründers wegen Beschäftigung von

Scheinselbstständigen zu Freiheitsstrafe („auf Bewährung“) durch Landgericht Augsburg am 14.10.2015

als trauriger Abschluss eines arbeits- und erfolgreichen Berufslebens?8

4 Vgl. Bachmann, Gutachten E zum 70. Deutschen Juristentag 2014, S. 13 unter Verweis auf Ihlas, D&O 2009, S.120. 5 Vgl. Bayer, Vorstandshaftung in der AG de lege lata und de lege ferenda, NJW 2014, S. 2546. 6 Vgl. Bayer, Die Innenhaftung des GmbH-Geschäftsführers, GmbHR 2014, S. 897 ff. 7 Vgl. auch Scherer/Fruth (Hrsg.), Governance-Management, Band 1, 2014, Kap. 1.3. 8 Vgl. SWP – Südwest Presse, Pressemitteilung vom 14.10.2015, http://www.swp.de/ulm/lokales/alb_donau/Inhofer-Chefs-verurteilt-Gericht-sieht-kein-System-hinter-Sozialbetrug;art1158552,3480598 [Abfrage am 10.06.2016].





Seite 13 von 81

E.3 Marktzugangshürden und Berufsausübungshemmnisse

These:

Neu ist auch die Erkenntnis, dass die Erfüllung rechtlicher Anforderungen (Compliance) nicht nur

hilft, (persönliche) Haftungsgefahren zu vermeiden.

Vielmehr sorgt (global) Compliance für die Beachtung der Anforderungen

von Kunden

(Beispiel: Teilnahmeberechtigung bei Ausschreibungen oder die Anforderung eines „Certificate of

Compliance“, das die gesamte Lieferkette umfasst, durch den Kunden.)

oder Behörden

(Beispiel: Produktionsuntersagung, z.B. „Müller-Brot“9, „Bayern-Ei-Affäre“10 oder „Listerien-Fleisch“11)

und damit für die Grundvoraussetzungen zur Ermöglichung der Teilnahme am Markt und

wirtschaftlichen Betätigung.

E.4 „Compliance beherrscht BWL“

Nach Zöllner/ Noack werden in den letzten Jahren sogar von Juristen der Trend, das pflichtgemäße

Verhalten eines Geschäftsleiters in Standards, wie die Grundsätze der Corporate Governance,

standardisierte Mindestanforderungen einer ordnungsgemäßen Compliance-Organisation (vgl.

MaComp oder das „Neubürger“-Urteil des LG München mit der Feststellung einer Pflicht zur Einrichtung

eines angemessenen Compliance-Managementsystems), etc., zu fassen, bei der Bewertung „pflichtgemäßen

Verhaltens“ eines „gewissenhaften Unternehmers“ verstärkt berücksichtigt (§§).12

Die Managerhaftung stelle dabei „ein wichtiges Steuerungselement guter Corporate Governance mit dem

Ziel, eine sorgfältige, getreue und wertorientierte Unternehmensführung zu erreichen“, dar.

These:

Es gibt nahe zu keinen Bereich unternehmerischer Betätigung mehr, der nicht bereits „juristisch

infiltriert“ ist. 13

These:

Sofern und soweit „betriebswirtschaftliche Sollenssätze“ (z.B. Verhaltensregeln / Methoden /

Verfahrensanweisungen / Instrumente) bereits durch rechtliche Vorgaben von Gesetzgebung oder

9 Vgl. BR, „Müller-Brot-Skandal - Der Niedergang einer Großbäckerei“, Pressemitteilung vom 02.11.2015, http://www.br.de/nachrichten/muellerbrot-skandal-chronologie-100.html [Abfrage am 10.06.2016]. 10 Vgl. BR, „Behörden greifen durch – Verkaufsverbot für Bayern-Ei“, Pressemitteilung vom 08.08.2015, http://www.br.de/nachrichten/bayern-ei-salmonellen-112.html [Abfrage am 10.06.2016]. 11 Vgl. Focus online, Pressemitteilung vom 30.05.2016, http://www.focus.de/finanzen/news/unternehmen/gefaehrliche-bakterien-entdeckt-verkaufsverbot-bayerische-grossmetzgerei-muss-ausgeliefertes-fleisch-zurueckrufen_id_5577349.html [Abfrage am 10.06.2016]. Vgl. jüngst auch den Rückruf wegen Listerien bei einer Metzgerei in einem großen Supermarkt in Plattling/Niederbayern. 12 Vgl. Zöllner/Noack in: Baumbach/Hueck: GmbHG-Kommentar, 19. Aufl. 2010, § 43 GmbHG, Rn. 17, 22, 22b und 23. 13 Vgl. Bayer, a.a.O., S. 2547 unter Verweis auf Lutter in: Handbuch Managerhaftung von Krieger / Schneider, 2. Auflage, 2010, § 1 Rn. 1.

http://www.br.de/nachrichten/bayern-ei-salmonellen-112.html





Seite 14 von 81

Rechtsprechung geregelt werden (vgl. dazu unten), sind diese zwingend unmodifiziert zu berücksichtigen

(§§: „Compliance beherrscht BWL“).

These:

Leider sind in der betriebswirtschaftlichen Literatur zu zahlreichen unternehmensrelevanten Themen die

längst existierenden rechtlichen Vorgaben meist kaum berücksichtigt (§§).

E.13 Input / „line of action“ / output : Das gleiche Schema in jedem Prozessthemenbereich (z.B.

QM/ Risk/ Einkauf/ etc.)

Abbildung 5: Input/ „Line of action“/ Output

Analysen

Management/ Unternehmensleitung

Unternehmensanalyse

Umfeldanalyse

Interested parties - Analyse

Bewertung und Ableitung von

Maßnahmen

Unternehmens-

Vision/ Mission/ Leitbild/ Politik

Prozesse

Input und Output

(Anforderungen/ Ziele)festlegen

Input

(Ressourcen: IT, Mensch, Material, Pläne, Leistungsbeschreibung, ...)

Action

Output

Zielerreichung

Unternehmens-Ziele/ Strategie/ Planung

Tools

- Visualisierung/ Sheets

- Lenkung durch virtuelle Prozessvorgaben

- Managementsysteme- etc.

Ableitung der Unternehmensziele in

Bereichsziele

Prozessziele

Mitarbeiterziele

Zielvereinbarungen

Prozess-Output-Beschreibungen

Tools/ Methoden

Muster

Tools/ Methoden

Tools/ Methoden

Tools/ Methoden

Exte

rne

s Ste

ue

run

gs-u

nd

Üb

erw

ach

un

gssy

stem

(du

rch in

tere

sted

pa

rties) „Fo

urth

line

of d

efe

nse

an

d o

ffen

se“

ES

ÜS

Inte

rne

Ste

ue

run

g u

nd

Ü

be

rwa

chu

ng

(th

ree

lin

es

of

de

fen

se)

Zie

le-u

nd

Pla

nu

ng

sma

na

ge

me

nt





Seite 15 von 81

Egal, in welchem (Prozess-)Themenbereich (Finanzen, Einkauf, Personal, Vertrieb, Leistungserstellung, IT,

QM, etc.) versucht wird, Ziele zu erreichen:

Das Schema (der Ablauf) sollte stets gleich sein:

Ziele und deren Anforderungen bestimmen (Ziele- und Planungsmanagement) und die erforderlichen

Ressourcen (Input) bereitstellen:

Dann können Mitarbeiter, Roboter und IT im Rahmen der von den Prozessabläufen vorgegebenen

Leitplanken agieren („line of action“) und mithilfe interner („ISÜS“: Internes Steuerungs- und

Überwachungsmanagement) und externer („ESÜS“: Externes Steuerungs- und

Überwachungsmanagement – fourth line of defense: interested parties) Steuerung und

Überwachung die Ziele (Output) erreichen:

Das „Unternehmensschiff“ fährt mithilfe von Governance (Ziele setzen, planen, steuern, überwachen) durch die raue See des Wirtschaftslebens. Der „Compliancerahmen“ zeigt Kapitän und Mannschaft die rechtlichen Grenzen /

Rahmenbedingungen auf: In bestimmten Fahrwassern darf das Schiff sich nicht bewegen!

Der „Risikomanagement-Radar“ zeigt Chancen (günstige Strömungen und Winde [Trends]) und

Gefahren (Eisberge und nahende Stürme oder Flaute) auf und hilft, entsprechend zu steuern.

Abbildung 6: Prozessmanagement-Grafik entnommen aus ISO 9001:2015, S. 12.





Seite 16 von 81

Die „22 Themenfelder“ eines Unternehmens(„-schiffes“): Übersicht und Schnittstellen

Abbildung 7: Die „22 Themenfelder". Hier 1-3.





Seite 17 von 81

Abbildung 8: Die „22 Themenfelder". Hier 4 - 9.





Seite 18 von 81

Abbildung 9: Die „22 Themenfelder". Hier 10-15.

10.1 Compliancemanagement- Compliancerisiken eruieren- Compliancerisiken bewerten- Compliancerisiken steuern- Notfallmanagement- Reaktions- und Sanktionssystem- Ombudsmannsystem

10.2 Externer Compliance-Beauftragter

10.3 Externe Rechtsabteilung

Compliance & Legal / Externe Rechtsabteilung

11.1 Innovationsmanagement

11.2 Engineering

11.3 Gewerblicher Rechtsschutz(Intelectual Property (IP))

1110Forschung & Entwicklung/ InnovationsmanagementCOMP F&E

1312

1514

14.1 „Pre-Sales“- Marketingmanagement (Produkt / Preis / Kunden /

Kommunikation)- Zielgruppendefinition- Akquisemanagement- Anfragemanagement- Angebotsmanagement (mit technischer und kaufmännischer

Prüfung)- Auftragsmanagement

14.2 „Sales“- Leistungserbringungsmanagement

14.3 „After sales“- Logistik- Abnahme - Reklamationsmanagement- After sales

Marketing / Vertrieb IT-Management

- IT-Bedarfsanalyse mit Leistungsbeschreibung- IT-Planung mit technischer und kaufmännischer

Prüfung - IT-Implementierung- IT-Services und IT-Wartung- IT-Security - Datenbanken- Datenschutz- IT-Business Continuity- etc.

Beschaffung / Einkauf

- Bedarfsmanagement- Lieferantenmanagement- Anfragemanagement- Vergabe mit Vertragsmanagement- Liefer- und Versorgungsmanagement/

Beschaffungslogistik- Abrechnungsmanagement

Leistungserbringung

13.1 „Pre-Sales“- Anfragemanagement- Leistungsbeschreibung- Techn. und kfm. Prüfung- Angebotsmanagement- Auftragsmanagement- Auftragsvorbereitung

13.2 Auftragserfüllung / Leistungserbringung(Produktion / Dienst- / Werkleistung / Engineering / Handel /…)und Logistik

13.3 „After-sales“- Abnahme- Reklamationsmanagement / Leistungsstörungen (Verzug / Nicht-,

Schlechtleistungen, Nebenpflichtverletzung) - After sales / Servicebereich

14

1414

13

13

21

20

20

EKAUF LEISTE

MAVE IT





Seite 19 von 81

17.1 Wissensschaffung- Wissensbedarfsanalyse- Wissensidentifikation- Wissensbewertung- Wissensbeschaffung- Wissensaufbereitung- Wissensverteilung

17.2 Dokumentation (Wissensbewahrung)- Identifikation, - Verfügbarkeit, Integrität, - Archivierung- Aufbewahrungsfristen

Information, Kommunikation, Berichtswesen(Informationsmanagement I)

1716Wissens- und Dokumentationsmanagement (Informationsmanagement II)

16.1 KommunikationskonzeptInfo-BedarfsanalyseInfo-BeschaffungInfo-AufbereitungInfo-PräsentationInfo-Dokumentation

16.2 Reputationsmanagement

16.3 Krisenkommunikation

16.4 Public Relations

16.5 Eventmanagement

etc.

14

21

14

14

16

INFO KOMM

INFOWISS

19

18.1 Externes RechnungswesenBuchhaltung / Bilanz / GuV /

18.2 Internes RechnungswesenControllingKosten- und LeistungsrechnungKennzahlen (wertorientiert)PlanungSteuerungReporting

18

20

- Kunden- (auch sonstig/-e: Stakeholder-/Shareholder-/ Aufsichtsorgan-) Anforderungen eruieren (Input)

- Aufbau- und Ablauforganisation danach ausrichten

- Anforderungen erfüllen (Output)- Kontrolle- Verbesserungsmaßnahmen

Qualitätsmanagement

Security / Safety

- Konzeptionierung / Planung / Überwachungund Steuerung des Schutzes und derSicherheit vor äußeren und innerenEinwirkungen, u. a.:

- Personenschutz- Gebäude- und Anlagenschutz- Schutz sonstiger Vermögenswerte- IT-Security- Arbeitsschutz / Arbeitssicherheit- Verkehrssicherungspflicht- Datenschutz- Umweltschutz- etc.

Business Continuity/ Restrukturierung/ Sanierung(ohne und mit Insolvenz)

- Vorsorgeplanung / Business Impact Analyse- Risiko-, Notfall-, Krisen- und

Kontinuitätsunterbrechungsprophylaxe- Risiko- und Krisenfrüherkennung / Monitoring- Eskalations- und Informationsprozess- Notfallmanagement- Kontinuitätsmanagement (Sicherstellung der

Betriebsabläufe)- Krisenmanagement- Business Continuity und Restrukturierung in den

diversen Unternehmensbereichen- Sanierung außerhalb eines Insolvenzverfahrens- Sanierung mit Insolvenzverfahren- Business Continuity-Krisen-Kommunikation und –

Reporting

21

Rechnungswesen, Controlling

3.3

16

53

15

15

6

9

9

16

RECO QM

SECSAFBCM

Abbildung 10: Die „22 Themenfelder". Hier 16 - 21.





Seite 20 von 81

Jedes dieser Themenfelder lässt sich im Rahmen einer „prozessorientierten Organisation“ auch als

„Hauptprozessthemenfeld“, z. B. „Nr. 14: Marketing und Vertrieb“ mit Teil-/Unterprozessen darstellen, vgl.

unten 1.2.4.

Jedes der ca. 22 Themenfelder hat einen individuellen Kernbereich, der strategisch und operativ „betreut“

wird, sowie Schnittstellen zu (Überschneidungen mit) den übrigen Themenfeldern.

Vgl. hierzu unten Pkt. 2.2.3:

Exkurs: Die dynamische prozessorientierte Organisation

Je nach Unternehmen / Branche / Organisationsform etc. können auch andere Themenbereiche relevant/ wichtig sein!

Beispielsweise sollte „Projektmanagement“ als Methode in nahe zu allen Bereichen bekannt sein und bei Bedarf angewendet werden. Je nach Unternehmen kann dies aber einen eigenen Bereich darstellen.

22 Sonstige (Logistik/Projektmanagement/etc.)

ETC

Abbildung 11: Die „22 Themenfelder". Hier 22.





Seite 21 von 81

Umrüstung der Organisation in ein integriertes GRC-System „on demand“ in Bausteinen / Modulen

1. Ausgangslage Analyse/ Bewertung: Was wird gewünscht, gebraucht? Anforderungen der benötigten/ gewünschten Kombi-Standards „on demand“ (z.B. Integriertes System mit QM mit Risk, Compliance, IKS und Nachhaltigkeit ...)

Ziel: Über einen (Risiko-) Workshop wird ermittelt, welches Kombi-Managementsystem konkret benötigt wird. Für eine Pilotphase kann auch ein spezielles Prozess-Themenfeld des Unternehmens ausgewählt werden.

2. Konzept mit Soll-Ist-Abgleich

Ziel: Die Konzeptionierung des integrierten Managementsystems stellt als Prüfgegenstand zum einen ein Basiselement in Hinblick auf eine mögliche Konzeptionierungs-und Implementierungsprüfung dar. Zum anderen dient die Konzeptionierung der Planung zukünftiger Implementierungstätigkeiten, indem ein Soll-Ist-Abgleich Lücken im

vorhandenen Managementsystem aufzeigt.

3. Implementierung

Ziel: Die im Soll-Ist-Abgleich ermittelten Komponenten werden in die Geschäftsprozesse basis-implementiert. Dies bedeutet, die Komponenten werden ggf. revisionssicher neu erstellt oder vorhandene Komponenten geprüft, danach vom Top-Management als verbindlich erklärt und an geeigneter Stelle in die Geschäftsprozesse eingebunden.

Die Leistung des Auftragnehmers kann sich hierbei sowohl auf die aktive Erstellung oder Prüfung von Dokumenten beziehen oder auf eine unterstützende, beratende Tätigkeit z.B. in Hinblick auf die passende Verortung der Komponenten in den Geschäftsprozessen beschränken.

4. Ready for (Konzeptionierungs- und Implementierungs)-Audit

Ziel: Durch ein internes Audit soll die Zertifizierungsreife für die Konzeptionierungs- und Implementierungsprüfung auf Basis des Universal-Standards festgestellt werden. Gleichzeitig wird der Auftraggeber bei der Zertifizierungsgesellschaft zur Zertifizierung angemeldet und Organisatorisches durch den Auftragnehmer übernommen.

5. Zertifizierung nur bzgl. (Konzeptionierung und Implementierung)

Ziel: Die Konzeptionierungs- und Implementierungs-Zertifizierung erfolgt über Kooperationspartner (z.B. für Compliance ComZert oder für QM TÜV/ Dekra/ etc.) oder das Internationale Institut für Governance, Management, Risk und Compliance (www.gomaricom.de)

Nach dem Audit erhält der Auftraggeber einen Auditbericht, der mögliche Nachbesserungen aufzeigen kann. Der Auftragnehmer unterstützt den Auftraggeber, diese Nachbesserungen vorzunehmen. Etwaige Maßnahmen werden im Vorfeld gemeinsam mit dem Auftraggeber besprochen und projektiert.

6. Kommunikation an interested parties

Ziel: Die diversen "interested parties" werden klassisch oder über einen Datenraum mit speziellen Zugriffsberechtigungen über den "Erfolg" benachrichtigt.

7. Herbeiführung der Wirksamkeit in diversen Bereichen

Ziel: Das integrierte Managementsystem bzw. die in die Organisation basis-implementierten Komponenten müssen von den Mitarbeitern verstanden und in der Folge „gelebt-werden“. Das Trainingskonzept plant dabei die wesentlichen methodischen, didaktischen und inhaltlichen Komponenten und e rmöglicht dadurch die zielgerichtete

Durchführung von Schulungen.

Der Auftragnehmer übernimmt die Schulungen der Führungskräfte und/oder Mitarbeiter auf Basis des abgestimmten Schulungskonzep tes.

Der Auftragnehmer unterstützt das Unternehmen bei der Herbeiführung der Wirksamkeit („Gelebt-werden“) des integrierten Managementsystems für ausgewählte Komponenten (z.B. Kernprozesse) beratend bzw. schulend.

8. Ready for (Wirksamkeits-) Audit

Ziel: Der Auftragnehmer übernimmt die Vorbereitungen auf das Zertifizierungsaudit indem das Angebot beim Zertifizierer eingeholt und ggf. verhandelt wird sowie Themen im Zusammenhang mit dem sog. Auditmanagement (z.B. Termine, etc.) geregelt werden.

Durch ein internes Audit soll die Zertifizierungsreife für die Wirksamkeitsprüfung (bezogen auf bestimmte Komponenten) auf Basis des Universal -Standards festgestellt werden. Gleichzeitig wird der Auftraggeber bei der Zertifizierungsgesellschaft zur Zertifizierung angemeldet und Organisatorisches durch den Auftragnehmer

übernommen.

9. (Wirksamkeits-) Zertifizierung

Ziel: Die Wirksamkeits-Zertifizierung erfolgt über Kooperationspartner (z.B. für Compliance ComZert oder für QM: TÜV/ Dekra/ etc.) oder das Internationale Institut für Governance, Management, Risk und Compliance (www.gomaricom.de).

Nach dem Audit erhält der Auftraggeber einen Auditbericht, der mögliche Nachbesserungen aufzeigen kann. Der Auftragnehmer unterstüzt den Auftraggeber, diese Nachbesserungen vorzunehmen. Etwaige Maßnahmen werden im Vorfeld gemeinsam mit dem Auftraggeber besprochen und projektiert.

10. Kommunikation an interested parties

DIe diversen "interested parties" werden klassisch oder über einen Datenraum mit speziellen Zugriffsberechtigungen über den "Erfolg" benachrichtigt.





Seite 22 von 81

Die Ziele des unternehmerischen Handelns

1.1 Primärziel: Existenzsicherung

Jedes Unternehmen, jede Institution, jede Körperschaft sollte dieses – ökonomische– Ziel ernstnehmen:

Die durchschnittliche Lebensdauer eines Unternehmens in Deutschland beträgt ca. 12 Jahre.

Auch Traditionsunternehmen sind vor den existenzbedrohenden Veränderungen in der eigenen

Organisation und im Umfeld nicht gefeit.14 Enorme Vorteile haben dagegen Unternehmen, die

Veränderungen frühzeitig erkennen und als Chancen nutzen.

Egal, ob Funktion, Abteilung, Körperschaft, Tochtergesellschaften des privaten Rechts oder der

öffentlichen Hand, etc.:

Selten findet man im Rahmen von Risiko‐Checks eine Organisations‐Struktur vor, die sich an den

Grundsätzen ordnungsgemäßer Unternehmensführung und ‐überwachung (GoU/GoÜ), sowie den

„Grundsätzen ordnungsgemäßer Interaktion (GoI)“ orientiert. Gerade in diesem Sektor herrscht

Optimierungsbedarf.

Der aufgrund der demographischen Entwicklung drohende Fachkräftemangel erfordert, dass in Zukunft

automatisierte Routineabläufe durch CPS (Cyber Physical Systems) unterstützend helfen, die

täglichen Zeitfresser aufgrund suboptimaler Abläufe oder Verhaltensweisen zu minimieren.

Den künftig raren Fachkräften bleibt dann die Zeit, sich bei – nicht durch Maschinen ersetzbaren –

Managementaufgaben dem Kernbereich ihrer Aufgabenstellung zu widmen.

14 Vgl. IDW S 11: 2015: Prüfungsstandard zur Feststellung/ Prüfung von Insolvenzgründen und Fortführungsprozessen.





Seite 23 von 81

Abbildung 12: Primärziel unternehmerischen Handelns.

Sekundärziele: Ökonomisch: Kernleistung für (zahlenden) Kunden bei optimierter Kosten‐

Struktur

Das Primärziel oder Existenzsicherung setzt eine nachgefragte Kernleistung (Produkt / Dienstleistung),

die von zahlenden Kunden abgenommen wird und somit zu Umsatz/ Erlösen führt, voraus.

Abbildung 13:Sekundärziel 1 des unternehmerischen Handelns.

Primärziel

- eines Unternehmens- einer Institution- einer Körperschaft- etc.

ist in der Regel:

(langfristige) Existenzsicherung durch

Liquidität (Cashflow, etc.)

Ergebnis(Gewinn, Rendite,

Ertrag, etc.)

(drohende) Zahlungsunfähigkeit

Überschuldung

Insolvenzgründe





Seite 24 von 81

Die Leistung muss einerseits erstellt/ erbracht und sollte andererseits optimal organisiert werden:

dies verursacht Kosten, die sich auf den Cashflow und den Gewinn auswirken.

Die Kosten15 sollten geringer sein, als der Erlös/ Umsatz!

Abbildung 14: Sekundärziel 2 des unternehmerischen Handelns.

Dass Erlöse/ Umsatz nicht mit Liquidität oder Ergebnis/ Ertrag/ Gewinn16 gleichzusetzen ist, stellt eine

„Binsenweisheit“ dar, wird aber dennoch in der Praxis (oft aus psychologischen Gründen) häufig nicht

genug beachtet.

Ebenso, dass eine optimierte Governance-Struktur inkl. Aufbau- und Ablauforganisation zu

enormen Einsparungen auf der Kostenseite führt und damit das Ergebnis (Ertrag/ Gewinn) positiv

beeinflusst.

Abbildung 15: Erlöse minus Kosten ergibt Ergebnis

15 Kosten, aufgrund von Aktivitäten, die für die Leistungserbringung erforderlich sind. 16 Die Internationalen Rechnungslegungsstandards IAS verwenden die Begriffe Erlös und Ergebnis.

Zahlender Kunde

Erlöse Kosten Ergebnis

Kosten für

Leistungserbringung

(Kernleistung)

Kernleistung

"Produktion"

"Dienstleistung"

"Handel"

"engineering"





Seite 25 von 81

1.2 Weitere Ziele

a) Soziale Ziele

Beispiel: Gute Arbeitsbedingungen für Mitarbeiter; soziales Engagement des Unternehmens; ….

b) Ökologische Ziele

Beispiel: Ressourcenschonung; Einsatz ökologischer Techniken;….

c) Sonstige Ziele:

Beispiel: Reputation, Nachhaltigkeit, Markenbildung

Vgl. hierzu auch das aufgrund der diesbezüglichen Lageberichtserstattungspflicht ab 2017 in der Bedeutung stark gestiegene Thema „Corporate Social Responsibility (CSR)“ und Nachhaltigkeits-Kodex.

1.3 Ort des „unternehmerischen Handelns“

Das unternehmerische Handeln wird hier assoziativ mit dem Bild eines „Unternehmensschiffes“ (vgl. oben) (Rechtsform: GmbH / AG / Konzern / OHG / KG / Einzelunternehmen), das sich auf seiner Handelsreise durch die raue See des Wirtschaftslebens bewegt, dargestellt.

Das „Management“ (Geschäftsleitung) setzt – im Rahmen der ordnungsgemäßen

Unternehmensführung und -überwachung - Ziele und plant, steuert und überwacht die zahlreichen

(hier ca. 22) Funktionen eines Unternehmens, wie die Kernleistung (Produktion / Handel / engineering /

Werkleistung / etc.), aber auch sonstige Themen wie Finanzen, IT, Personal, etc..

Dabei wird die Leitung von einem integrierten Managementsystem unterstützt: Ein einziges System

beinhaltet die zahlreichen Funktionen eines Unternehmens in seiner Aufbau- und

Ablauforganisation. Das ist möglich, weil jede einzelne Funktion („Managementsystem-Insel“) in weiten

Teilen ähnlich (hier in 4 Blöcken dargestellt, vgl.) aufgebaut ist. Lediglich der – überschaubare –

Kernbereich weist individuelle Komponenten auf.

Beim „Ziele setzen und planen“ sollten idealerweise auch – nicht zu viele! – passende Kennzahlen (KPI´s –

Key performance indicators) insgesamt und für jede Funktion festgelegt werden: Das hilft beim Planen,

Steuern und Überwachen.

„Leseprobe“ - GMRC · Behörden (beck-aktuell vom 14.07.2016). 2 Vgl. die Ausstrahlung auf die...

Documents

Transcript of „Leseprobe“ - GMRC · Behörden (beck-aktuell vom 14.07.2016). 2 Vgl. die Ausstrahlung auf die...