Lange Leine. Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle? Incentives - Einfach zum Nachdenken

„Lange Leine“ – Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle? Incentives - Einfach zum Nachdenken Compliance in der öffentlichen Verwalt...
Author: Monica Franke
0 downloads 1 Views 524KB Size
„Lange Leine“ – Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle?

Incentives - Einfach zum Nachdenken Compliance in der öffentlichen Verwaltung Handlungsanleitungen und Erfahrungsberichte Konsequenzen aus dem StRÄG 2008 und dem KorrStRÄG 2009 für den öffentlichen Sektor

IIR-Fachkonferenz – 10. Dezember 2009 Rainers Hotel 1100 Wien, Gudrunstraße 184

Was dürfen Sie erwarten? • Compliance – Bedeutung • Compliance Dilemmata und Mechanismen • Fremdbestimmung – Selbstbestimmung • Moral, Ethik, Werte und Gewissen • Ethische Blindheit und Grenzen der Compliance • Beispiel: Management der Wissensrisiken • Elemente wirksamer Compliance • Lessons learned 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

2

Compliance – Bedeutung • Betriebswirtschaftlich – Überwachung der Einhaltung von Gesetzen, Richtlinien und Kodices • Bedeutendes Element von Corporate Governance • „Good Governance“, „Corporate Governance“, allg. Compliance, IT-Compliance, Cross-Compliance

– Gesamtheit aller zumutbaren Maßnahmen, die • das regelkonforme Verhalten eines Unternehmens, seiner Organisation und seiner Mitarbeiterinnen und Mitarbeiter überwachen und steuern und • zur Gewährleistung unternehmerischen Handelns im Einklang mit gesellschaftlichen Richtlinien, Wertvorstellungen, Moral und Ethik beitragen.

– Beruht auf vier Grundpfeilern: • Identifikation von Risiken (rechtl., organisator., personell, techn., etc.) • Internes Informationssystem (Schulungsmaßnahmen, Richtlinien, etc.) • Internes und externes Kommunikationssystem (Meldesystem, Verfahrensabläufe, etc.) • Internes Kontrollsystem

– Ziele: • Risikominimierung, Effektivitäts- und Effizienzsteigerung 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

3

Compliance – Bedeutung • Medizinisch – psychosozialer Aspekt – Compliance des Patienten – Therapietreue (Adherence) • besonders wichtig bei chronisch Kranken in Bezug auf – Einnahme von Medikamenten – Befolgen einer Diät – Veränderung des Lebensstils

• Erhöhte Compliance liegt insbesondere dann vor, wenn der Patient – – – – – –

von einer allgemeinen Krankheitsanfälligkeit überzeugt ist, sich seiner Erkrankung gegenüber für anfällig hält (Annahme der Krankheit), die Ernsthaftigkeit seines Leidens erkennt, an die Wirksamkeit der Therapie glaubt, mit der medizinischen Betreuung zufrieden ist, von seinem sozialen und beruflichen Umfeld in seinem Befolgungsverhalten unterstützt wird, – Versuchungen zur Abweichung vom Behandlungsweg widersteht und – durch rationale Überlegungen und Beobachtungen den Therapieerfolg überwacht (intelligente Non-Compliance: z.B. Nebenwirkungen, Behandlungsfortschritt)

• Ziele: – Risikominimierung, Effektivitäts- und Effizienzsteigerung 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

4

Compliance – Bedeutung • Februar 2009 – Internationaler Wirtschaftsinformatikkongress in Wien – Kontrollsysteme • Ein gutes Drittel an unerwünschten Zutritten und Zugriffen (Intrusion-Attempts) kann durch automatische und organisatorische Kontrollen verhindert werden. • Rund 17 Prozent unerwünschter Zutritte und Zugriffe können innerorganisatorisch durch willkürliche Regularien und Sicherheitssysteme unterbunden werden. • Ein starkes Drittel ist Grauzonen-Bereich – Einstellungs- und Verhaltensmotivation – Führungsaufgabe und -verantwortung

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

5

Compliance – Bedeutung •

März/April 2009 – branchenübergreifende Novell-Umfrage zu GRC (D, Ö, CH) • GRC = Governance, Risk, Compliance • Entscheidungsträger aus IT, Security, Compliance, Audit/Interne Revision (n=U=200)

– Nur 36 % der Unternehmen wissen, was GRC für ihr Unternehmen bedeutet; nur 42 % kennen die für sie zutreffenden Regularien. – 56 % geben an, die nötigen Geschäftsprozesse definiert zu haben. • D.h., dass viele Unternehmen an den Geschäftsprozessen arbeiten, bevor sie die Bedeutung von GRC kennen und wissen, welche Regularien auf sie zutreffen. – 30 % der befragten Unternehmen kennen nicht die Systeme, die sie managen. – Knapp 70 % haben keine Ahnung, welche ihrer Systeme bei einem Audit ausfallen und über 70 % wissen nicht, warum diese ausfallen. – Nur etwas mehr al 30 % kennen die mittel- und langfristigen Kosten. – Nur 17 % messen überhaupt den Erfolg ihrer Maßnahmen. 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

6

Compliance Dilemmata und Mechanismen • Compliance als Steuerungsmodell, das gesetzes- und richtlinienkonformes Verhalten gewährleisten soll, stößt an seine Grenze: Soziale Systeme sind – – – – –



eingeschränkt gestaltbar, vergangenheitsabhängig, unvorhersagbar, selbst steuernd, nur über Bereitstellung geeigneter Rahmenbedingungen beeinflussbar.

Kontrollparadoxon – Kontrollmaßnahmen induzieren Versuche des Kontrollierten, durch geeignete Verhaltensstrategien der Kontrolle zu entgehen, was wiederum zu verstärkten Kontrollen und weiteren Ausweichmaßnahmen führt.



Crowding out – Gefühle wie Vertrauen und Commitment werden durch Überwachung und extrinsische Anreize verdrängt. – Siehe auch: Innovation, Wissensmanagement, „Dienst nach Vorschrift“, etc. 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

Mag. Rudolf Schwab

7

Compliance Dilemmata und Mechanismen Compliance Management

Integrity Management

Opportunistischer Mitarbeiter

das bestätigt die Annahme

Mitarbeiter als soziales Wesen

aufgrund der Annahme erfolgen

keiner Initiative und Verantwortungs -übernahme

strenge Vorschriften und Kontrolle

und

diese führen zu

das verstärkt die Annahme

Initiative und Verantwortungs -bereitschaft

Handlungsspielräume und Selbstkontrolle

diese ermöglichen

und

Engagement für die Arbeit

passivem Arbeitsverhalten

Lynn Sharp Pane, Managing for Intergrity, Havard Business Review März/April 1994 9.12.2009-10.12.2009

aufgrund der Annahme erfolgen

IIR-Compliance öffentl. Verwaltung_W_Keck

In Anlehnung an Mag. Rudolf Schwab 8

Compliance Dilemmata und Mechanismen Das dolose Dreieck - Ursachen von Wirtschaftskriminalität Aufwendiger Lebensstil 37%

Anreiz Ungenügende (interne) Kontrolle 42%

Mangelndes Werte- und Unrechtsbewusstsein 66%

Gelegenheit

9.12.2009-10.12.2009

Rechtfertigung

IIR-Compliance öffentl. Verwaltung_W_Keck

9

Compliance Dilemmata und Mechanismen Kognitive und strukturelle Mechanismen Motivation Typen individueller Wahrnehmung • „Praktiker“

Strukturell

Check: Policies & Procedures Strukturell

Interessenskonflikte

Reallokation von Anreizen

Informationsasymmetrien

Transparenz

Situationsbezogene Verfügbarkeit

Kontrolle

• „Verdienst“ • „Spieler“ • „Habgier“ • „über dem Gesetz“ Check: Werte & Prinzipien

Führungsstil Unternehmenskultur Branchenkultur

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

© Prof. Dr. habil. Josef Wieland 10

Fremdbestimmung - Selbstbestimmung • Im Bereich er Naturnotwendigkeit gibt es Fremdbestimmung und Sorgfaltspflicht

– Ein Arzt, der ich auf den Standpunkt stellt, es gibt nur Naturnotwendigkeit, es gibt nur die Naturwissenschaft und sonst gar nichts, der hat keine Verantwortung, er muss immer nur trachten, dass alles richtig gemacht wird. – Wenn er alles im Sinne der (naturwissenschaftlichen) Methode richtig macht und der Patient stirbt, dann ist das zwar bedauerlich, aber nicht seine Verantwortung, denn er hat ja alles richtig gemacht. – Siehe auch: Ausrichtung des Medizinstudiums und intelligente Non-Compliance.

• Im Bereich der Freiheit gibt es Selbstbestimmung und Verantwortung. • Selbstbestimmung im Bereich der Naturnotwendigkeit ist Dummheit

– Aufsichtsorgan - als „freier selbstbestimmter“ Mensch - ingnoriert das Aufleuchten der Warnlampe eines technischen Gerätes.

• Fremdbestimmung im Bereich der Freiheit ist Feigheit

– Ich weiß, dass ich für diese wichtige persönliche Entscheidung selbstbestimmt und verantwortlich bin, aber ich frage noch jemanden anderen. Logik und Widerspruch bei Entscheidungen – Naturnotwendigkeit und Freiheit (Herbert Pietschmann 1995)

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

11

Moral, Ethik, Werte und Gewissen • Moral (mos / mores – lat. Übersetzung von ethos)

– beschreibt, welche Werte, Normen und Haltungen in einer Gemeinschaft (Gruppe oder Organisation) tatsächlich gelten und notfalls erzwingbar sind; sie ist das Ergebnis geschichtlicher Lebens- und Machtprozesse; • Gruppen-, Betriebs-, Verbands- oder gesellschaftliche Moral

– Moral fordert von den jeweiligen Mitgliedern ein bestimmtes Verhalten – Moral im Sinne praktizierter Normen, die keiner zu brechen wagt, kennen auch außerhalb des „Gesetzes“ stehende Organisationen

• Ethik

– fragt danach, wie diese Werte, Normen und Haltungen begründet werden; sie ist das Ergebnis philosophischer Reflexion: – Hinterfragt worauf moralischen Forderungen und Verhalten sich gründen, aber auch die von allen als selbstverständlich betrachtete Moral

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

12

Moral, Ethik, Werte und Gewissen • Werte oder „Können, wollen, dürfen, ist es erwünscht?“ – Werte: Begriff kommt aus der Ökonomie; erst im 19. Jh. Grundbegriff der Ethik

• Gebrauchswert, Arbeitswert, Mehrwert • Wir betrachten das als Wert, was unser Leben bereichert, in materieller, sozialer, geistiger, ästhetischer oder religiöser Hinsicht.

– Werte sind demnach Gesichtspunkte, die eine Person, Gruppe oder Organisation bevorzugen, weil sie hoffen, durch sie ihre Existenz „zu erhalten oder zu steigern“. (Nietzsche) – Es geht somit um persönliche „Wertehaltungen“

• Weil jedes Unternehmen Werte erstrebt, fordert es von seinen Mitgliedern, dass sie zu diesen Werten Stellung nehmen und sie in ihrem Handeln beachten. • In wechselnden Situationen diese Grundhaltungen und Dispositionen durchzuhalten, erfordert selbstbestimmte, verantwortungsvolle und kompetente Menschen.

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

13

Moral, Ethik, Werte und Gewissen

• Gewissen – Das Gewissen (lat: conscientia, wörtlich "Mit-Wissen"):

• besondere Instanz im menschlichen Bewusstsein, die sagt, wie man urteilen soll; • drängt dazu, aus ethischen bzw. moralischen und intuitiven Gründen bestimmte Handlungen auszuführen oder zu unterlassen. • Entscheidungen können als unausweichlich empfunden oder mehr oder weniger bewusst - im Wissen um ihre Voraussetzungen und denkbaren Folgen, getroffen werden (Verantwortung).

– Kant:

• Fähigkeit, das Allgemeine und das Besondere aufeinander abzustimmen. • „Empfindungswissen“, das persönliche Gefühle und überpersönliche Moralansprüche zusammen bringt.

– Oswald Schwemmer:

• Persönliche allgemeine moralische Überzeugungen im Sinne der zweifelsfreien Annahme moralischer Normen als Urteilsbasis.

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

14

Ethische Blindheit Grenzen der Compliance • Herausforderung für Organisationen, denn

– unter den „richtigen“ sozialen Bedingungen können normale, anständige Menschen grausame Dinge tun ………. …………. und sie sehen es nicht, weil sie ethisch erblindet sind (Milgram-Experiment – um die Bereitschaft durchschnittlicher Personen zu testen, autoritären Anweisungen auch dann Folge zu leisten, wenn sie in direkte direktem Widerspruch zu ihrem Gewissen stehen - 1961 New Haven – Labor der Yale University – Stanley Milgram)

• Es ist möglich, dass die klare Unterscheidung von Gut und Böse innerhalb eines Kontextes anders aussieht, als von außerhalb. • Wenn sich der Kontext verändert und der Mensch verändert sich mit dem Kontext, dann sieht man diese Veränderung nicht. – schleichende Verschiebung der Normalität

• Akteure nehmen ihre Welt nie als merkwürdig oder falsch wahr. Sie schaffen sich ihre eigene Rationalität.

– Je rigider die persönlichen Frames der Umweltwahrnehmung sind, desto limitierter ist die Wahrnehmung (Blinde Flecken). Mag. Rudolf Schwab

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

15

Ethische Blindheit Grenzen der Compliance • Umgang mit den systemischen Grenzen der Compliance – Warnsignale lesen lernen – mit Druck, Anreizen, Kontrolle und Autorität verbundene Risiken verstehen – Dissens und Selbstkritik zulassen – nicht glauben, dass einem das nicht passiert – auf Eintrittsereignisse vorbereitet sein – (psychologische) Treiber von ethischem und unethischem Verhalten verstehen – Grenzen der Wahrnehmung der „Welt“ verstehen lernen und diese erweitern – problemadäquate Trainings- und Coaching-Prozesse etablieren – Verstärktes Augenmerk auf Personalmanagement und Multiplikatoren richten In Anlehnung an Mag. Rudolf Schwab 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

16

Management der Wissensrisiken •

Wissen in der öffentlichen Verwaltung

– Sachwissen: z.B. Wissen um ein bestimmtes Gesetz – Handlungswissen im öffentlichen Sektor • • • • •

ermöglicht erst Abläufe und Prozesse in einer Organisation z.B. hierarchische und laterale Führungsfähigkeiten (Projektleitung) i.d.R. schwerer zugänglich als Fachwissen kann schneller verloren gehen Dazu zählen: – – –

Prozess- und Verfahrenswissen Fall- oder auch Inhaltswissen umfasst Fakten- und Regelwissen, das darüber hinaus Wissen über Ergebnis, Begründungen und Verlauf bereits bearbeiteter Fälle inkludiert Kontextwissen – Wissen über die Umgebung, in der ein wissensbasiertes Handeln stattfindet

• Wissensrisiken – Verlust durch Mitarbeiterfluktuation, Nichtdokumentation oder Vernichtung – Diffusion durch unautorisierte Zugriffe, Informationsweitergabe – Transfermangel durch Zurückhaltung oder übermäßigen Schutz – Qualitätsmangel durch geringe Aktualität, Unkorrektheit oder NichtAnwendbarkeit von Wissen

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

Strube et al. 1996 Lenk, Wengelowski 2004

17

Management der Wissensrisiken curiosity, creativity, informal discussions

expressing ideas

common terminology, endorsement, validation

distributing in communities

structure, decontextualization, approval

application context, didactical refinement

ad-hoc learning

formalizing

rumours

ideas/ proposals

project reports

learning objects

personal experiences

questions/ answers

lessons learned

good/best practices

novices

advanced beginners

competent

skillful masters

Risikoausmaß

didactical arrangement, sequencing, certification

formal training

reorganized business processes courses patents

experts

Risikobewusstsein

Quelle: Maier 2007, 293, nach Dreyfus/Dreyfus 1986, Maier/Schmidt 2007

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

18

Management von Wissensrisiken • Management von Wissensrisiken ist an die Kernaufgaben des traditionellen Risikomanagements angelehnt (Mehr/Hedges 1974; Farny 1979; Diedrichs et al. 2004) • wissensbezogene Ressourcen bilden den Analysefokus Identifikation wissensbezogener Ressourcen

Wissensrisikoüberwachung

Wissensrisikoidentifikation

Person

Objekt

Organisation

Wissensrisikobewertung

Wissensrisikosteuerung

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

19

Management der Wissensrisiken • schließt als Handlungsalternativen Vermeiden, Vermindern, Überwälzen und Akzeptieren ein • setzt Klassifikation von Wissen voraus • entleiht Maßnahmen aus verschiedenen Forschungsgebieten, z.B. IT-Sicherheits-, Personal-, Wissensmanagement, Management strategischer Allianzen oder Abwehr von Wirtschaftsspionage • ist primär präventiv ausgerichtet • schließt Maßnahmen organisatorischer, technischer und rechtlicher Natur und insbesondere Führungsmaßnahmen mit ein organisatorisch

technisch

rechtlich

• Definition von Zutritts- und Zugriffsrechten • Nachfolgeregelungen • Genehmigungsprozesse

• Zugriffskontrollsysteme • IT- Sicherheitstechnologien • digitales Rechtemanagement

• Geheimhaltungs-, • Kooperationsvereinbarungen, • gewerbliche Schutzrechte

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

Prof. Dr. Ronald Maier (Uni Innsbruck) Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg) Wissenstag 11.6.2007 „Management von Wissensrisiken“

20

Management der Wissensrisiken Wissensqualität Klassifikation von Wissen Zutrittsbeschränkung Zugriffsbeschränkung Dynamisierung der Zugriffsrechte Geheimhaltungsvereinbarungen Richtlinien zur Wissens weitergabe Steuerung Begrenzung von von WissensInteraktionspunkten Kooperationsvereinbarungen risiken Konkurrenzschutzklauseln IT-Sicherheitsrichtlinien IT-Sicherheitsbewusstsein gewerbliche Schutzrechte Reduktion von Abhängigkeiten

9.12.2009-10.12.2009

Verfügbarkeit Nachvollziehbarkeit Rechtzeitigkeit Korrektheit Aktualität Anwendbarkeit

Wissenstransfer

Erweiterung der Wissensbasis Beitrag zu anderen Aufgaben , Prozessen und Projekten Reduktion der Abhängigkeit / des Verlassens auf den Partner Qualität externen Wissens Quantität externen Wissens

Wissensdiffusion

unautorisierte Zugriffe nachteilige Mitarbeiterfluktuation Reverse Engineering Imitation Competitive Intelligence Bestrebungen unerwünschter Zugang für Partner

Wissensverlust

Nichtdokumentation (Tagesgeschäft) Nichtdokumentation (Projektgeschäft) Nachbesetzung Vertretung Reorganisation Verlust dokumentierten Wissens

IIR-Compliance öffentl. Verwaltung_W_Keck

Prof. Dr. Ronald Maier (Uni Innsbruck) Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg) Wissenstag 11.6.2007 „Management von Wissensrisiken“

21

Elemente wirksamer Compliance • Verantwortlich für Compliance ist das Management! • Wenn kommuniziertes und tatsächlich gelebtes Verhalten an der Unternehmensspitze (Tone at the Top) authentisch, stimmig sind, können Mitarbeiter am leichtesten zu ähnlichem Verhalten motiviert werden. • Diese Vorbildwirkung und Verantwortung gilt für jede Führungskraft. • Compliance Programm – – – – – – –

Risikobewertungsprozess Compliance Aufbauorganisation Compliance Rahmenwerk Kommunikationsprozesse Trainings- und Personalentwicklungsprogramme Monitoring und Behebung von Schwachstellen Technologieunterstützung

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

22

Elemente wirksamer Compliance • •

• • • • • • •

Förderung einer Organisationskultur, die ethisches und gesetzeskonformes Verhalten unterstützt. Verstärkte Verantwortung der obersten Leitungsorgane für das Management und die Überwachung des Compliance Programms. Die Festlegung der Inhalte und Prozesse des Compliance Programms fällt in die direkte Verantwortung der Unternehmensleitung. Festlegung von Unternehmensrichtlinien und Verfahren, um kriminelle Verhaltensweisen vorzubeugen und aufzudecken. Klare Verantwortlichkeiten und ausreichend Ressourcen auf allen Verantwortungsebenen zur Umsetzung des Compliance Programms. Personalauswahl und –entwicklung entsprechen den Compliance Programmzielen Laufende Überwachung und Bewertung der Effektivität des Compliance Programms. Schutz von Mitarbeitern, die Compliance Verstöße melden. Anreizsysteme zur Förderung des Compliance Gedankens. Bei Auftreten kriminellen Verhaltens Einleitung geeigneter Schritte zur Vermeidung ähnlicher Vorfälle in der Zukunft. US Sentencing Guidelines 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

23

Lessons learned • „Lange Leine“ – Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle? – Es kommt auf den Unternehmensreifegrad an • Management von Veränderungs- und Verhaltensprozessen • Personalmanagement – Rekrutierungs-, Aufnahme-, Pflege-, Abgangs-, Bildungs-, Schulungs-, Trainings- und Coachingprozesse – Reifegrad in der Vorbildwirkung der Manager (Führungskräfte), in ihrer Kommunikation und in ihrer Aufsichtsverantwortung

• Annahmegrad der Unternehmenswerte und wie sie gelebt werden • Aktualitätsgrad organisatorischer, technischer und sozialer Kontrollund Überwachungsmechanismen

– Je höher der Unternehmensreifegrad, desto länger die Leine Doch: Be aware! – Transparenz – ein wesentlicher Kontrollfaktor! US Sentencing Guidelines 9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

24

Was haben Sie gehört? Compliance – Bedeutung Compliance Dilemmata und Mechanismen Fremdbestimmung – Selbstbestimmung Moral, Ethik, Werte und Gewissen Ethische Blindheit und Grenzen der Compliance Beispiel: Management der Wissensrisiken Elemente wirksamer Compliance Lessons learned

Wolfgang Keck E-Government und E-Health-Beauftragter PVA-Koordinator für Compliance-Maßnahmen Mitglied der ADV, der OCG, der ÖVO, des IIAA der PWM Wien und Graz Beiratsmitglied des Future Network Koordinator des Sozialwortes Email: [email protected] Tel: +43 676 933 67 52

9.12.2009-10.12.2009

IIR-Compliance öffentl. Verwaltung_W_Keck

25