Compliance in der öffentlichen verwaltung iir w. keck_original_091210

„Lange Leine“ –Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle?

Compliance in der öffentlichen VerwaltungHandlungsanleitungen und Erfahrungsberichte

Konsequenzen aus dem StRÄG 2008 und dem KorrStRÄG 2009 für den öffentlichen Sektor

IIR-Fachkonferenz – 10. Dezember 2009Rainers Hotel

1100 Wien, Gudrunstraße 184

Incentives - Einfach zum Nachdenken

9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 2

Was dürfen Sie erwarten?

• Compliance – Bedeutung

• Compliance Dilemmata und Mechanismen

• Fremdbestimmung – Selbstbestimmung

• Moral, Ethik, Werte und Gewissen

• Ethische Blindheit und Grenzen der Compliance

• Beispiel: Management der Wissensrisiken

• Elemente wirksamer Compliance

• Lessons learned


Compliance – Bedeutung

• Betriebswirtschaftlich– Überwachung der Einhaltung von Gesetzen, Richtlinien und Kodices

• Bedeutendes Element von Corporate Governance• „Good Governance“, „Corporate Governance“, allg. Compliance, IT-Compliance,

Cross-Compliance

– Gesamtheit aller zumutbaren Maßnahmen, die• das regelkonforme Verhalten eines Unternehmens, seiner Organisation und seiner

Mitarbeiterinnen und Mitarbeiter überwachen und steuern und• zur Gewährleistung unternehmerischen Handelns im Einklang mit

gesellschaftlichen Richtlinien, Wertvorstellungen, Moral und Ethik beitragen.– Beruht auf vier Grundpfeilern:

• Identifikation von Risiken (rechtl., organisator., personell, techn., etc.)• Internes Informationssystem (Schulungsmaßnahmen, Richtlinien, etc.)• Internes und externes Kommunikationssystem (Meldesystem, Verfahrensabläufe,

etc.)• Internes Kontrollsystem

– Ziele:• Risikominimierung, Effektivitäts- und Effizienzsteigerung



• Medizinisch – psychosozialer Aspekt– Compliance des Patienten – Therapietreue (Adherence)

• besonders wichtig bei chronisch Kranken in Bezug auf– Einnahme von Medikamenten– Befolgen einer Diät– Veränderung des Lebensstils

• Erhöhte Compliance liegt insbesondere dann vor, wenn der Patient– von einer allgemeinen Krankheitsanfälligkeit überzeugt ist,– sich seiner Erkrankung gegenüber für anfällig hält (Annahme der Krankheit),– die Ernsthaftigkeit seines Leidens erkennt,– an die Wirksamkeit der Therapie glaubt,– mit der medizinischen Betreuung zufrieden ist,– von seinem sozialen und beruflichen Umfeld in seinem Befolgungsverhalten unterstützt

wird,– Versuchungen zur Abweichung vom Behandlungsweg widersteht und– durch rationale Überlegungen und Beobachtungen den Therapieerfolg überwacht

(intelligente Non-Compliance: z.B. Nebenwirkungen, Behandlungsfortschritt)

• Ziele:– Risikominimierung, Effektivitäts- und Effizienzsteigerung



• Februar 2009 – Internationaler Wirtschaftsinformatikkongress in Wien– Kontrollsysteme

• Ein gutes Drittel an unerwünschten Zutritten und Zugriffen (Intrusion-Attempts) kann durch automatische und organisatorische Kontrollen verhindert werden.

• Rund 17 Prozent unerwünschter Zutritte und Zugriffe können innerorganisatorisch durch willkürliche Regularien und Sicherheitssysteme unterbunden werden.

• Ein starkes Drittel ist Grauzonen-Bereich– Einstellungs- und Verhaltensmotivation– Führungsaufgabe und -verantwortung



• März/April 2009 – branchenübergreifende Novell-Umfrage zu GRC (D, Ö, CH)• GRC = Governance, Risk, Compliance• Entscheidungsträger aus IT, Security, Compliance, Audit/Interne Revision (n=U=200)

– Nur 36 % der Unternehmen wissen, was GRC für ihr Unternehmen bedeutet; nur 42 % kennen die für sie zutreffenden Regularien.

– 56 % geben an, die nötigen Geschäftsprozesse definiert zu haben.• D.h., dass viele Unternehmen an den Geschäftsprozessen arbeiten,

bevor sie die Bedeutung von GRC kennen und wissen, welche Regularien auf sie zutreffen.

– 30 % der befragten Unternehmen kennen nicht die Systeme, die siemanagen.

– Knapp 70 % haben keine Ahnung, welche ihrer Systeme bei einem Audit ausfallen und über 70 % wissen nicht, warum diese ausfallen.

– Nur etwas mehr al 30 % kennen die mittel- und langfristigen Kosten.– Nur 17 % messen überhaupt den Erfolg ihrer Maßnahmen.


Compliance Dilemmata und Mechanismen• Compliance als Steuerungsmodell, das gesetzes- und richtlinienkonformes

Verhalten gewährleisten soll, stößt an seine Grenze: Soziale Systeme sind– eingeschränkt gestaltbar,– vergangenheitsabhängig,– unvorhersagbar,– selbst steuernd,– nur über Bereitstellung geeigneter Rahmenbedingungen beeinflussbar.

• Kontrollparadoxon– Kontrollmaßnahmen induzieren Versuche des Kontrollierten, durch geeignete

Verhaltensstrategien der Kontrolle zu entgehen, was wiederum zu verstärkten Kontrollen und weiteren Ausweichmaßnahmen führt.

• Crowding out– Gefühle wie Vertrauen und Commitment werden durch Überwachung und

extrinsische Anreize verdrängt. – Siehe auch: Innovation, Wissensmanagement, „Dienst nach Vorschrift“, etc.

Mag. Rudolf Schwab


ComplianceManagement

Integrity Management

Lynn Sharp Pane, Managing for Intergrity, Havard Business Review März/April 1994

Initiative und Verantwortungs

-bereitschaft

Mitarbeiter als soziales Wesen

Handlungsspiel-räume und

Selbstkontrolle

Engagement für die Arbeit

das verstärkt die Annahme

diese ermöglichen

aufgrund der Annahme erfolgen

und

keiner Initiative und

Verantwortungs-übernahme

OpportunistischerMitarbeiter

strenge Vorschriften und Kontrolle

passivem Arbeitsverhalten

das bestätigt die Annahme

diese führen zuund

aufgrund der Annahme erfolgen

In Anlehnung an Mag. Rudolf Schwab

Compliance Dilemmata und Mechanismen


Das dolose Dreieck - Ursachen von Wirtschaftskriminalität

Ungenügende(interne) Kontrolle 42%

GelegenheitRecht-

fertigung

Mangelndes Werte- und Unrechtsbewusstsein 66%

Anreiz

Aufwendiger Lebensstil 37%




Kognitive und strukturelle Mechanismen

Motivation Check: Policies & Procedures

Typen individueller

WahrnehmungStrukturell Strukturell

• „Praktiker“

• „Verdienst“

• „Spieler“

• „Habgier“

• „über dem Gesetz“

Interessenskonflikte

Informationsasymmetrien

Situationsbezogene Verfügbarkeit

Reallokation von Anreizen

Transparenz

Kontrolle

Check: Werte & Prinzipien

Führungsstil

Unternehmenskultur

Branchenkultur© Prof. Dr. habil. Josef Wieland


Fremdbestimmung - Selbstbestimmung

• Im Bereich er Naturnotwendigkeit gibt es Fremdbestimmung und Sorgfaltspflicht – Ein Arzt, der ich auf den Standpunkt stellt, es gibt nur Naturnotwendigkeit, es gibt nur

die Naturwissenschaft und sonst gar nichts, der hat keine Verantwortung, er muss immer nur trachten, dass alles richtig gemacht wird.

– Wenn er alles im Sinne der (naturwissenschaftlichen) Methode richtig macht und der Patient stirbt, dann ist das zwar bedauerlich, aber nicht seine Verantwortung, denn er hat ja alles richtig gemacht.

– Siehe auch: Ausrichtung des Medizinstudiums und intelligente Non-Compliance.

• Im Bereich der Freiheit gibt es Selbstbestimmung und Verantwortung.

• Selbstbestimmung im Bereich der Naturnotwendigkeit ist Dummheit– Aufsichtsorgan - als „freier selbstbestimmter“ Mensch - ingnoriert das Aufleuchten der

Warnlampe eines technischen Gerätes.

• Fremdbestimmung im Bereich der Freiheit ist Feigheit– Ich weiß, dass ich für diese wichtige persönliche Entscheidung selbstbestimmt und

verantwortlich bin, aber ich frage noch jemanden anderen.

Logik und Widerspruch bei Entscheidungen –Naturnotwendigkeit und Freiheit (Herbert Pietschmann 1995)


Moral, Ethik, Werte und Gewissen

• Moral (mos / mores – lat. Übersetzung von ethos)– beschreibt, welche Werte, Normen und Haltungen in einer

Gemeinschaft (Gruppe oder Organisation) tatsächlich gelten und notfalls erzwingbar sind; sie ist das Ergebnis geschichtlicher Lebens- und Machtprozesse;

• Gruppen-, Betriebs-, Verbands- oder gesellschaftliche Moral

– Moral fordert von den jeweiligen Mitgliedern ein bestimmtes Verhalten

– Moral im Sinne praktizierter Normen, die keiner zu brechen wagt,kennen auch außerhalb des „Gesetzes“ stehende Organisationen

• Ethik– fragt danach, wie diese Werte, Normen und Haltungen begründet

werden; sie ist das Ergebnis philosophischer Reflexion:– Hinterfragt worauf moralischen Forderungen und Verhalten sich

gründen, aber auch die von allen als selbstverständlich betrachtete Moral



• Werte oder „Können, wollen, dürfen, ist es erwünscht?“– Werte: Begriff kommt aus der Ökonomie;

erst im 19. Jh. Grundbegriff der Ethik• Gebrauchswert, Arbeitswert, Mehrwert • Wir betrachten das als Wert, was unser Leben bereichert, in materieller,

sozialer, geistiger, ästhetischer oder religiöser Hinsicht.

– Werte sind demnach Gesichtspunkte, die eine Person, Gruppe oder Organisation bevorzugen, weil sie hoffen, durch sie ihre Existenz „zu erhalten oder zu steigern“. (Nietzsche)

– Es geht somit um persönliche „Wertehaltungen“• Weil jedes Unternehmen Werte erstrebt, fordert es von seinen

Mitgliedern, dass sie zu diesen Werten Stellung nehmen und sie in ihrem Handeln beachten.

• In wechselnden Situationen diese Grundhaltungen und Dispositionen durchzuhalten, erfordert selbstbestimmte, verantwortungsvolle und kompetente Menschen.



• Gewissen – Das Gewissen (lat: conscientia, wörtlich "Mit-Wissen"):

• besondere Instanz im menschlichen Bewusstsein, die sagt, wie manurteilen soll;

• drängt dazu, aus ethischen bzw. moralischen und intuitiven Gründen bestimmte Handlungen auszuführen oder zu unterlassen.

• Entscheidungen können als unausweichlich empfunden oder mehr oder weniger bewusst - im Wissen um ihre Voraussetzungen und denkbaren Folgen, getroffen werden (Verantwortung).

– Kant:• Fähigkeit, das Allgemeine und das Besondere aufeinander abzustimmen.• „Empfindungswissen“, das persönliche Gefühle und überpersönliche

Moralansprüche zusammen bringt.

– Oswald Schwemmer:• Persönliche allgemeine moralische Überzeugungen im Sinne der

zweifelsfreien Annahme moralischer Normen als Urteilsbasis.


Ethische Blindheit Grenzen der Compliance

• Herausforderung für Organisationen, denn– unter den „richtigen“ sozialen Bedingungen können normale, anständige

Menschen grausame Dinge tun ……….…………. und sie sehen es nicht, weil sie ethisch erblindet sind

(Milgram-Experiment – um die Bereitschaft durchschnittlicher Personen zu testen, autoritären Anweisungen auch dann Folge zu leisten, wenn sie in direkte direktem Widerspruch zu ihrem Gewissen stehen - 1961 New Haven – Labor der Yale University – Stanley Milgram)

• Es ist möglich, dass die klare Unterscheidung von Gut und Böse innerhalb eines Kontextes anders aussieht, als von außerhalb.

• Wenn sich der Kontext verändert und der Mensch verändert sich mit dem Kontext, dann sieht man diese Veränderung nicht.– schleichende Verschiebung der Normalität

• Akteure nehmen ihre Welt nie als merkwürdig oder falsch wahr. Sie schaffen sich ihre eigene Rationalität.– Je rigider die persönlichen Frames der Umweltwahrnehmung sind, desto

limitierter ist die Wahrnehmung (Blinde Flecken).Mag. Rudolf Schwab


Ethische Blindheit Grenzen der Compliance

• Umgang mit den systemischen Grenzen der Compliance– Warnsignale lesen lernen– mit Druck, Anreizen, Kontrolle und Autorität verbundene Risiken

verstehen– Dissens und Selbstkritik zulassen– nicht glauben, dass einem das nicht passiert– auf Eintrittsereignisse vorbereitet sein– (psychologische) Treiber von ethischem und unethischem Verhalten

verstehen– Grenzen der Wahrnehmung der „Welt“ verstehen lernen und diese

erweitern– problemadäquate Trainings- und Coaching-Prozesse etablieren– Verstärktes Augenmerk auf Personalmanagement und Multiplikatoren

richtenIn Anlehnung an Mag. Rudolf Schwab


Management der Wissensrisiken• Wissen in der öffentlichen Verwaltung

– Sachwissen: z.B. Wissen um ein bestimmtes Gesetz– Handlungswissen im öffentlichen Sektor

• ermöglicht erst Abläufe und Prozesse in einer Organisation• z.B. hierarchische und laterale Führungsfähigkeiten (Projektleitung)• i.d.R. schwerer zugänglich als Fachwissen• kann schneller verloren gehen• Dazu zählen:

– Prozess- und Verfahrenswissen– Fall- oder auch Inhaltswissen umfasst Fakten- und Regelwissen, das darüber hinaus Wissen über Ergebnis,

Begründungen und Verlauf bereits bearbeiteter Fälle inkludiert– Kontextwissen – Wissen über die Umgebung, in der ein wissensbasiertes Handeln stattfindet

• Wissensrisiken– Verlust durch Mitarbeiterfluktuation, Nichtdokumentation oder Vernichtung

– Diffusion durch unautorisierte Zugriffe, Informationsweitergabe

– Transfermangel durch Zurückhaltung oder übermäßigen Schutz

– Qualitätsmangel durch geringe Aktualität, Unkorrektheit oder Nicht-Anwendbarkeit von Wissen

Strube et al. 1996Lenk, Wengelowski 2004


Management der Wissensrisiken

Risikoausmaß

Quelle: Maier 2007, 293, nach Dreyfus/Dreyfus 1986, Maier/Schmidt 2007

Risikobewusstsein

novices advancedbeginners

competent skillfulmasters

experts

distributing incommunities formalizing

ad-hoclearning

formaltraining

expressingideas

curiosity, tivity, informaldiscussions

crea- common termi-nology, endorse-ment, validation

structure,decontextuali-

zation, approval

didactical arrange-ment, sequencing,

certification

application con-text, didactical

refinement

personalexperiences

rumours ideas/proposals

questions/answers

projectreports

lessonslearned

learningobjects

good/bestpractices

patents

reorganizedbusinessprocessescourses


Management von Wissensrisiken• Management von Wissensrisiken ist an die Kernaufgaben des

traditionellen Risikomanagements angelehnt (Mehr/Hedges 1974; Farny 1979; Diedrichs et al. 2004)

• wissensbezogene Ressourcen bilden den Analysefokus

Wissensrisiko-identifikation

Wissensrisiko-überwachung

Wissensrisiko-steuerung

Wissensrisiko-bewertung

Identifikation wissensbezogener

Ressourcen

Objekt Organisation

Person


Management der Wissensrisiken• schließt als Handlungsalternativen Vermeiden, Vermindern,

Überwälzen und Akzeptieren ein

• setzt Klassifikation von Wissen voraus

• entleiht Maßnahmen aus verschiedenen Forschungsgebieten, z.B. IT-Sicherheits-, Personal-, Wissensmanagement, Management strategischer Allianzen oder Abwehr von Wirtschaftsspionage

• ist primär präventiv ausgerichtet

• schließt Maßnahmen organisatorischer, technischer und rechtlicher Natur und insbesondere Führungsmaßnahmen mit ein

• Geheimhaltungs-,• Kooperationsvereinbarungen,• gewerbliche Schutzrechte

• Zugriffskontrollsysteme• IT- Sicherheitstechnologien• digitales Rechtemanagement

• Definition von Zutritts- und Zugriffsrechten

• Nachfolgeregelungen• Genehmigungsprozesse

rechtlichtechnischorganisatorisch

Prof. Dr. Ronald Maier (Uni Innsbruck)Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg)Wissenstag 11.6.2007 „Management von Wissensrisiken“


Management der Wissensrisiken

Steuerung von Wissens-

risiken

Wissens-qualität

Wissens-transfer

Wissens-diffusion

Wissens-verlust

Klassifikation von WissenZutrittsbeschränkungZugriffsbeschränkungDynamisierung der ZugriffsrechteGeheimhaltungsvereinbarungenRichtlinien zur Wissens-weitergabeBegrenzung von InteraktionspunktenKooperationsvereinbarungenKonkurrenzschutzklauselnIT-SicherheitsrichtlinienIT-Sicherheitsbewusstseingewerbliche Schutzrechte Reduktion von Abhängigkeiten

VerfügbarkeitNachvollziehbarkeitRechtzeitigkeitKorrektheitAktualitätAnwendbarkeit

Nichtdokumentation (Tagesgeschäft)Nichtdokumentation (Projektgeschäft)NachbesetzungVertretungReorganisationVerlust dokumentierten Wissens

Erweiterung der WissensbasisBeitrag zu anderen Aufgaben, Prozessen und ProjektenReduktion der Abhängigkeit / des Verlassens auf den PartnerQualität externen WissensQuantität externen Wissens

unautorisierte Zugriffenachteilige MitarbeiterfluktuationReverse EngineeringImitationCompetitive Intelligence Bestrebungen unerwünschter Zugang für Partner

Prof. Dr. Ronald Maier (Uni Innsbruck)Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg)Wissenstag 11.6.2007 „Management von Wissensrisiken“


Elemente wirksamer Compliance

• Verantwortlich für Compliance ist das Management!

• Wenn kommuniziertes und tatsächlich gelebtes Verhalten an der Unternehmensspitze (Tone at the Top) authentisch, stimmig sind, können Mitarbeiter am leichtesten zu ähnlichem Verhalten motiviert werden.

• Diese Vorbildwirkung und Verantwortung gilt für jede Führungskraft.

• Compliance Programm– Risikobewertungsprozess– Compliance Aufbauorganisation– Compliance Rahmenwerk– Kommunikationsprozesse– Trainings- und Personalentwicklungsprogramme– Monitoring und Behebung von Schwachstellen– Technologieunterstützung



• Förderung einer Organisationskultur, die ethisches und gesetzeskonformes Verhalten unterstützt.

• Verstärkte Verantwortung der obersten Leitungsorgane für das Management und die Überwachung des Compliance Programms.Die Festlegung der Inhalte und Prozesse des Compliance Programms fällt in die direkte Verantwortung der Unternehmensleitung.

• Festlegung von Unternehmensrichtlinien und Verfahren, um kriminelle Verhaltensweisen vorzubeugen und aufzudecken.

• Klare Verantwortlichkeiten und ausreichend Ressourcen auf allen Verantwortungsebenen zur Umsetzung des Compliance Programms.

• Personalauswahl und –entwicklung entsprechen den Compliance Programmzielen

• Laufende Überwachung und Bewertung der Effektivität des Compliance Programms.

• Schutz von Mitarbeitern, die Compliance Verstöße melden.• Anreizsysteme zur Förderung des Compliance Gedankens.• Bei Auftreten kriminellen Verhaltens Einleitung geeigneter Schritte zur

Vermeidung ähnlicher Vorfälle in der Zukunft.

US Sentencing Guidelines


Lessons learned

• „Lange Leine“ –Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle?

– Es kommt auf den Unternehmensreifegrad an• Management von Veränderungs- und Verhaltensprozessen• Personalmanagement

– Rekrutierungs-, Aufnahme-, Pflege-, Abgangs-, Bildungs-, Schulungs-, Trainings- und Coachingprozesse

– Reifegrad in der Vorbildwirkung der Manager (Führungskräfte),in ihrer Kommunikation und in ihrer Aufsichtsverantwortung

• Annahmegrad der Unternehmenswerte und wie sie gelebt werden• Aktualitätsgrad organisatorischer, technischer und sozialer Kontroll-

und Überwachungsmechanismen

– Je höher der Unternehmensreifegrad, desto länger die Leine -Doch: Be aware!

– Transparenz – ein wesentlicher Kontrollfaktor!

US Sentencing Guidelines


Wolfgang KeckE-Government und E-Health-BeauftragterPVA-Koordinator für Compliance-Maßnahmen

Mitglied der ADV, der OCG, der ÖVO, des IIAA der PWM Wien und Graz Beiratsmitglied des Future NetworkKoordinator des Sozialwortes

Email: [email protected]: +43 676 933 67 52

Was haben Sie gehört?



Fremdbestimmung – Selbstbestimmung


Ethische Blindheit und Grenzen der Compliance

Beispiel: Management der Wissensrisiken


Lessons learned

mailto:[email protected]

Compliance in der öffentlichen verwaltung iir w. keck_original_091210

Business

Transcript of Compliance in der öffentlichen verwaltung iir w. keck_original_091210