Compliance in der öffentlichen verwaltung iir w. keck_original_091210
1. „Lange Leine“ –
Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle?
Incentives - Einfach zum Nachdenken
Compliance in der öffentlichen Verwaltung
Handlungsanleitungen und Erfahrungsberichte
Konsequenzen aus dem StRÄG 2008 und dem KorrStRÄG 2009 für den öffentlichen Sektor
IIR-Fachkonferenz – 10. Dezember 2009
Rainers Hotel
1100 Wien, Gudrunstraße 184
2. Was dürfen Sie erwarten?
• Compliance – Bedeutung
• Compliance Dilemmata und Mechanismen
• Fremdbestimmung – Selbstbestimmung
• Moral, Ethik, Werte und Gewissen
• Ethische Blindheit und Grenzen der Compliance
• Beispiel: Management der Wissensrisiken
• Elemente wirksamer Compliance
• Lessons learned
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 2
3. Compliance – Bedeutung
• Betriebswirtschaftlich
– Überwachung der Einhaltung von Gesetzen, Richtlinien und Kodices
• Bedeutendes Element von Corporate Governance
• „Good Governance“, „Corporate Governance“, allg. Compliance, IT-Compliance,
Cross-Compliance
– Gesamtheit aller zumutbaren Maßnahmen, die
• das regelkonforme Verhalten eines Unternehmens, seiner Organisation und seiner
Mitarbeiterinnen und Mitarbeiter überwachen und steuern und
• zur Gewährleistung unternehmerischen Handelns im Einklang mit
gesellschaftlichen Richtlinien, Wertvorstellungen, Moral und Ethik beitragen.
– Beruht auf vier Grundpfeilern:
• Identifikation von Risiken (rechtl., organisator., personell, techn., etc.)
• Internes Informationssystem (Schulungsmaßnahmen, Richtlinien, etc.)
• Internes und externes Kommunikationssystem (Meldesystem, Verfahrensabläufe,
etc.)
• Internes Kontrollsystem
– Ziele:
• Risikominimierung, Effektivitäts- und Effizienzsteigerung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 3
4. Compliance – Bedeutung
• Medizinisch – psychosozialer Aspekt
– Compliance des Patienten – Therapietreue (Adherence)
• besonders wichtig bei chronisch Kranken in Bezug auf
– Einnahme von Medikamenten
– Befolgen einer Diät
– Veränderung des Lebensstils
• Erhöhte Compliance liegt insbesondere dann vor, wenn der Patient
– von einer allgemeinen Krankheitsanfälligkeit überzeugt ist,
– sich seiner Erkrankung gegenüber für anfällig hält (Annahme der Krankheit),
– die Ernsthaftigkeit seines Leidens erkennt,
– an die Wirksamkeit der Therapie glaubt,
– mit der medizinischen Betreuung zufrieden ist,
– von seinem sozialen und beruflichen Umfeld in seinem Befolgungsverhalten unterstützt
wird,
– Versuchungen zur Abweichung vom Behandlungsweg widersteht und
– durch rationale Überlegungen und Beobachtungen den Therapieerfolg überwacht
(intelligente Non-Compliance: z.B. Nebenwirkungen, Behandlungsfortschritt)
• Ziele:
– Risikominimierung, Effektivitäts- und Effizienzsteigerung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 4
5. Compliance – Bedeutung
• Februar 2009 – Internationaler Wirtschaftsinformatikkongress in Wien
– Kontrollsysteme
• Ein gutes Drittel an unerwünschten Zutritten und Zugriffen
(Intrusion-Attempts) kann durch automatische und
organisatorische Kontrollen verhindert werden.
• Rund 17 Prozent unerwünschter Zutritte und Zugriffe können
innerorganisatorisch durch willkürliche Regularien und
Sicherheitssysteme unterbunden werden.
• Ein starkes Drittel ist Grauzonen-Bereich
– Einstellungs- und Verhaltensmotivation
– Führungsaufgabe und -verantwortung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 5
6. Compliance – Bedeutung
• März/April 2009 – branchenübergreifende Novell-Umfrage zu GRC (D, Ö, CH)
• GRC = Governance, Risk, Compliance
• Entscheidungsträger aus IT, Security, Compliance, Audit/Interne Revision (n=U=200)
– Nur 36 % der Unternehmen wissen, was GRC für ihr Unternehmen bedeutet;
nur 42 % kennen die für sie zutreffenden Regularien.
– 56 % geben an, die nötigen Geschäftsprozesse definiert zu haben.
• D.h., dass viele Unternehmen an den Geschäftsprozessen arbeiten,
bevor sie die Bedeutung von GRC kennen und wissen, welche
Regularien auf sie zutreffen.
– 30 % der befragten Unternehmen kennen nicht die Systeme, die sie
managen.
– Knapp 70 % haben keine Ahnung, welche ihrer Systeme bei einem Audit
ausfallen und über 70 % wissen nicht, warum diese ausfallen.
– Nur etwas mehr al 30 % kennen die mittel- und langfristigen Kosten.
– Nur 17 % messen überhaupt den Erfolg ihrer Maßnahmen.
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 6
7. Compliance Dilemmata und Mechanismen
• Compliance als Steuerungsmodell, das gesetzes- und richtlinienkonformes
Verhalten gewährleisten soll, stößt an seine Grenze:
Soziale Systeme sind
– eingeschränkt gestaltbar,
– vergangenheitsabhängig,
– unvorhersagbar,
– selbst steuernd,
– nur über Bereitstellung geeigneter Rahmenbedingungen beeinflussbar.
• Kontrollparadoxon
– Kontrollmaßnahmen induzieren Versuche des Kontrollierten, durch geeignete
Verhaltensstrategien der Kontrolle zu entgehen, was wiederum zu verstärkten
Kontrollen und weiteren Ausweichmaßnahmen führt.
• Crowding out
– Gefühle wie Vertrauen und Commitment werden durch Überwachung und
extrinsische Anreize verdrängt.
– Siehe auch: Innovation, Wissensmanagement, „Dienst nach Vorschrift“, etc.
Mag. Rudolf Schwab
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 7
8. Compliance Dilemmata und Mechanismen
Compliance Integrity
Management Management
Opportunistischer Mitarbeiter als
Mitarbeiter soziales Wesen
das bestätigt die Annahme aufgrund der Annahme das verstärkt die Annahme aufgrund der Annahme
erfolgen erfolgen
keiner Initiative
strenge Initiative und Handlungsspiel-
und
Vorschriften Verantwortungs räume und
Verantwortungs
und Kontrolle -bereitschaft Selbstkontrolle
-übernahme
und diese führen zu diese
und
ermöglichen
passivem Engagement für
Arbeitsverhalten die Arbeit
Lynn Sharp Pane, Managing for Intergrity, Havard Business Review März/April 1994 In Anlehnung an Mag. Rudolf Schwab
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 8
9. Compliance Dilemmata und Mechanismen
Das dolose Dreieck - Ursachen von Wirtschaftskriminalität
Aufwendiger Lebensstil 37%
Anreiz
Ungenügende Mangelndes Werte- und
(interne) Kontrolle 42% Unrechtsbewusstsein 66%
Recht-
Gelegenheit
fertigung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 9
11. Fremdbestimmung - Selbstbestimmung
• Im Bereich er Naturnotwendigkeit gibt es Fremdbestimmung und
Sorgfaltspflicht
– Ein Arzt, der ich auf den Standpunkt stellt, es gibt nur Naturnotwendigkeit, es gibt nur
die Naturwissenschaft und sonst gar nichts, der hat keine Verantwortung, er muss immer
nur trachten, dass alles richtig gemacht wird.
– Wenn er alles im Sinne der (naturwissenschaftlichen) Methode richtig macht und der
Patient stirbt, dann ist das zwar bedauerlich, aber nicht seine Verantwortung, denn er hat
ja alles richtig gemacht.
– Siehe auch: Ausrichtung des Medizinstudiums und intelligente Non-Compliance.
• Im Bereich der Freiheit gibt es Selbstbestimmung und Verantwortung.
• Selbstbestimmung im Bereich der Naturnotwendigkeit ist Dummheit
– Aufsichtsorgan - als „freier selbstbestimmter“ Mensch - ingnoriert das Aufleuchten der
Warnlampe eines technischen Gerätes.
• Fremdbestimmung im Bereich der Freiheit ist Feigheit
– Ich weiß, dass ich für diese wichtige persönliche Entscheidung selbstbestimmt und
verantwortlich bin, aber ich frage noch jemanden anderen.
Logik und Widerspruch bei Entscheidungen –
Naturnotwendigkeit und Freiheit (Herbert Pietschmann 1995)
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 11
12. Moral, Ethik, Werte und Gewissen
• Moral (mos / mores – lat. Übersetzung von ethos)
– beschreibt, welche Werte, Normen und Haltungen in einer
Gemeinschaft (Gruppe oder Organisation) tatsächlich gelten
und notfalls erzwingbar sind; sie ist das Ergebnis
geschichtlicher Lebens- und Machtprozesse;
• Gruppen-, Betriebs-, Verbands- oder gesellschaftliche Moral
– Moral fordert von den jeweiligen Mitgliedern ein bestimmtes
Verhalten
– Moral im Sinne praktizierter Normen, die keiner zu brechen wagt,
kennen auch außerhalb des „Gesetzes“ stehende Organisationen
• Ethik
– fragt danach, wie diese Werte, Normen und Haltungen begründet
werden; sie ist das Ergebnis philosophischer Reflexion:
– Hinterfragt worauf moralischen Forderungen und Verhalten sich
gründen, aber auch die von allen als selbstverständlich betrachtete
Moral
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 12
13. Moral, Ethik, Werte und Gewissen
• Werte oder „Können, wollen, dürfen, ist es erwünscht?“
– Werte: Begriff kommt aus der Ökonomie;
erst im 19. Jh. Grundbegriff der Ethik
• Gebrauchswert, Arbeitswert, Mehrwert
• Wir betrachten das als Wert, was unser Leben bereichert, in materieller,
sozialer, geistiger, ästhetischer oder religiöser Hinsicht.
– Werte sind demnach Gesichtspunkte, die eine Person, Gruppe oder
Organisation bevorzugen, weil sie hoffen, durch sie ihre Existenz „zu
erhalten oder zu steigern“. (Nietzsche)
– Es geht somit um persönliche „Wertehaltungen“
• Weil jedes Unternehmen Werte erstrebt, fordert es von seinen
Mitgliedern, dass sie zu diesen Werten Stellung nehmen und sie
in ihrem Handeln beachten.
• In wechselnden Situationen diese Grundhaltungen und
Dispositionen durchzuhalten, erfordert selbstbestimmte,
verantwortungsvolle und kompetente Menschen.
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 13
14. Moral, Ethik, Werte und Gewissen
• Gewissen
– Das Gewissen (lat: conscientia, wörtlich "Mit-Wissen"):
• besondere Instanz im menschlichen Bewusstsein, die sagt, wie man
urteilen soll;
• drängt dazu, aus ethischen bzw. moralischen und intuitiven Gründen
bestimmte Handlungen auszuführen oder zu unterlassen.
• Entscheidungen können als unausweichlich empfunden oder mehr oder
weniger bewusst - im Wissen um ihre Voraussetzungen und denkbaren
Folgen, getroffen werden (Verantwortung).
– Kant:
• Fähigkeit, das Allgemeine und das Besondere aufeinander abzustimmen.
• „Empfindungswissen“, das persönliche Gefühle und überpersönliche
Moralansprüche zusammen bringt.
– Oswald Schwemmer:
• Persönliche allgemeine moralische Überzeugungen im Sinne der
zweifelsfreien Annahme moralischer Normen als Urteilsbasis.
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 14
15. Ethische Blindheit
Grenzen der Compliance
• Herausforderung für Organisationen, denn
– unter den „richtigen“ sozialen Bedingungen können normale, anständige
Menschen grausame Dinge tun ……….
…………. und sie sehen es nicht, weil sie ethisch erblindet sind
(Milgram-Experiment – um die Bereitschaft durchschnittlicher Personen zu testen, autoritären
Anweisungen auch dann Folge zu leisten, wenn sie in direkte direktem Widerspruch zu ihrem
Gewissen stehen - 1961 New Haven – Labor der Yale University – Stanley Milgram)
• Es ist möglich, dass die klare Unterscheidung von Gut und Böse
innerhalb eines Kontextes anders aussieht, als von außerhalb.
• Wenn sich der Kontext verändert und der Mensch verändert sich mit
dem Kontext, dann sieht man diese Veränderung nicht.
– schleichende Verschiebung der Normalität
• Akteure nehmen ihre Welt nie als merkwürdig oder falsch wahr.
Sie schaffen sich ihre eigene Rationalität.
– Je rigider die persönlichen Frames der Umweltwahrnehmung sind, desto
limitierter ist die Wahrnehmung (Blinde Flecken).
Mag. Rudolf Schwab
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 15
16. Ethische Blindheit
Grenzen der Compliance
• Umgang mit den systemischen Grenzen der Compliance
– Warnsignale lesen lernen
– mit Druck, Anreizen, Kontrolle und Autorität verbundene Risiken
verstehen
– Dissens und Selbstkritik zulassen
– nicht glauben, dass einem das nicht passiert
– auf Eintrittsereignisse vorbereitet sein
– (psychologische) Treiber von ethischem und unethischem Verhalten
verstehen
– Grenzen der Wahrnehmung der „Welt“ verstehen lernen und diese
erweitern
– problemadäquate Trainings- und Coaching-Prozesse etablieren
– Verstärktes Augenmerk auf Personalmanagement und Multiplikatoren
richten
In Anlehnung an Mag. Rudolf Schwab
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 16
17. Management der Wissensrisiken
• Wissen in der öffentlichen Verwaltung
– Sachwissen: z.B. Wissen um ein bestimmtes Gesetz
– Handlungswissen im öffentlichen Sektor
• ermöglicht erst Abläufe und Prozesse in einer Organisation
• z.B. hierarchische und laterale Führungsfähigkeiten (Projektleitung)
• i.d.R. schwerer zugänglich als Fachwissen
• kann schneller verloren gehen
• Dazu zählen:
– Prozess- und Verfahrenswissen
– Fall- oder auch Inhaltswissen umfasst Fakten- und Regelwissen, das darüber hinaus Wissen über Ergebnis,
Begründungen und Verlauf bereits bearbeiteter Fälle inkludiert
– Kontextwissen – Wissen über die Umgebung, in der ein wissensbasiertes Handeln stattfindet
• Wissensrisiken
– Verlust durch Mitarbeiterfluktuation, Nichtdokumentation oder Vernichtung
– Diffusion durch unautorisierte Zugriffe, Informationsweitergabe
– Transfermangel durch Zurückhaltung oder übermäßigen Schutz
– Qualitätsmangel durch geringe Aktualität, Unkorrektheit oder Nicht-
Anwendbarkeit von Wissen
Strube et al. 1996
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck Lenk, Wengelowski 2004 17
18. Management der Wissensrisiken
curiosity, crea- common termi- structure, application con- didactical arrange-
tivity, informal nology, endorse- decontextuali- text, didactical ment, sequencing,
discussions ment, validation zation, approval refinement certification
expressing distributing in ad-hoc formal
ideas formalizing learning training
communities
rumours ideas/ project learning reorganized
proposals reports objects business
processes
personal questions/ lessons good/best courses
experiences answers learned practices
patents
advanced skillful
novices competent experts
beginners masters
Risikoausmaß
Risikobewusstsein
Quelle: Maier 2007, 293, nach Dreyfus/Dreyfus 1986, Maier/Schmidt 2007
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 18
19. Management von Wissensrisiken
• Management von Wissensrisiken ist an die Kernaufgaben des
traditionellen Risikomanagements angelehnt
(Mehr/Hedges 1974; Farny 1979; Diedrichs et al. 2004)
• wissensbezogene Ressourcen bilden den Analysefokus
Identifikation
wissensbezogener
Ressourcen
Wissensrisiko- Wissensrisiko-
Person
überwachung identifikation
Objekt Organisation
Wissensrisiko- Wissensrisiko-
steuerung bewertung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 19
20. Management der Wissensrisiken
• schließt als Handlungsalternativen Vermeiden, Vermindern,
Überwälzen und Akzeptieren ein
• setzt Klassifikation von Wissen voraus
• entleiht Maßnahmen aus verschiedenen Forschungsgebieten,
z.B. IT-Sicherheits-, Personal-, Wissensmanagement, Management
strategischer Allianzen oder Abwehr von Wirtschaftsspionage
• ist primär präventiv ausgerichtet
• schließt Maßnahmen organisatorischer, technischer und rechtlicher
Natur und insbesondere Führungsmaßnahmen mit ein
organisatorisch technisch rechtlich
• Definition von Zutritts- und • Zugriffskontrollsysteme • Geheimhaltungs-,
Zugriffsrechten • IT- Sicherheitstechnologien • Kooperationsvereinbarungen,
• Nachfolgeregelungen • digitales Rechtemanagement • gewerbliche Schutzrechte
• Genehmigungsprozesse
Prof. Dr. Ronald Maier (Uni Innsbruck)
Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg)
Wissenstag 11.6.2007 „Management von
Wissensrisiken“
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 20
21. Management der Wissensrisiken
Verfügbarkeit
Nachvollziehbarkeit
Rechtzeitigkeit
Wissens- Korrektheit
qualität Aktualität
Anwendbarkeit
Klassifikation von Wissen
Zutrittsbeschränkung Erweiterung der Wissensbasis
Zugriffsbeschränkung Beitrag zu anderen Aufgaben,
Dynamisierung der Zugriffsrechte Prozessen und Projekten
Geheimhaltungsvereinbarungen
Wissens- Reduktion der Abhängigkeit
Richtlinien zur Wissens - transfer / des Verlassens auf den Partner
weitergabe Qualität externen Wissens
Begrenzung von
Steuerung Quantität externen Wissens
Interaktionspunkten von Wissens-
unautorisierte Zugriffe
Kooperationsvereinbarungen risiken nachteilige Mitarbeiterfluktuation
Konkurrenzschutzklauseln Reverse Engineering
IT-Sicherheitsrichtlinien
Wissens-
Imitation
IT-Sicherheitsbewusstsein diffusion
Competitive Intelligence Bestrebungen
gewerbliche Schutzrechte unerwünschter Zugang für Partner
Reduktion von Abhängigkeiten
Nichtdokumentation (Tagesgeschäft)
Nichtdokumentation (Projektgeschäft)
Wissens- Nachbesetzung
verlust Vertretung
Reorganisation
Verlust dokumentierten Wissens
Prof. Dr. Ronald Maier (Uni Innsbruck)
Dipl. Kfm. Florian Bayer (Uni Halle – Wittenberg)
Wissenstag 11.6.2007 „Management von
Wissensrisiken“
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 21
22. Elemente wirksamer Compliance
• Verantwortlich für Compliance ist das Management!
• Wenn kommuniziertes und tatsächlich gelebtes Verhalten an
der Unternehmensspitze (Tone at the Top) authentisch,
stimmig sind, können Mitarbeiter am leichtesten zu ähnlichem
Verhalten motiviert werden.
• Diese Vorbildwirkung und Verantwortung gilt für jede
Führungskraft.
• Compliance Programm
– Risikobewertungsprozess
– Compliance Aufbauorganisation
– Compliance Rahmenwerk
– Kommunikationsprozesse
– Trainings- und Personalentwicklungsprogramme
– Monitoring und Behebung von Schwachstellen
– Technologieunterstützung
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 22
23. Elemente wirksamer Compliance
• Förderung einer Organisationskultur, die ethisches und
gesetzeskonformes Verhalten unterstützt.
• Verstärkte Verantwortung der obersten Leitungsorgane für das
Management und die Überwachung des Compliance Programms.
Die Festlegung der Inhalte und Prozesse des Compliance Programms fällt in
die direkte Verantwortung der Unternehmensleitung.
• Festlegung von Unternehmensrichtlinien und Verfahren, um kriminelle
Verhaltensweisen vorzubeugen und aufzudecken.
• Klare Verantwortlichkeiten und ausreichend Ressourcen auf allen
Verantwortungsebenen zur Umsetzung des Compliance Programms.
• Personalauswahl und –entwicklung entsprechen den Compliance
Programmzielen
• Laufende Überwachung und Bewertung der Effektivität des Compliance
Programms.
• Schutz von Mitarbeitern, die Compliance Verstöße melden.
• Anreizsysteme zur Förderung des Compliance Gedankens.
• Bei Auftreten kriminellen Verhaltens Einleitung geeigneter Schritte zur
Vermeidung ähnlicher Vorfälle in der Zukunft.
US Sentencing Guidelines
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 23
24. Lessons learned
• „Lange Leine“ –
Ein wichtiger Schritt zum Erfolg oder eine Gefahrenquelle?
– Es kommt auf den Unternehmensreifegrad an
• Management von Veränderungs- und Verhaltensprozessen
• Personalmanagement
– Rekrutierungs-, Aufnahme-, Pflege-, Abgangs-, Bildungs-,
Schulungs-, Trainings- und Coachingprozesse
– Reifegrad in der Vorbildwirkung der Manager (Führungskräfte),
in ihrer Kommunikation und in ihrer Aufsichtsverantwortung
• Annahmegrad der Unternehmenswerte und wie sie gelebt werden
• Aktualitätsgrad organisatorischer, technischer und sozialer Kontroll-
und Überwachungsmechanismen
– Je höher der Unternehmensreifegrad, desto länger die Leine -
Doch: Be aware!
– Transparenz – ein wesentlicher Kontrollfaktor!
US Sentencing Guidelines
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 24
25. Was haben Sie gehört?
Compliance – Bedeutung
Compliance Dilemmata und Mechanismen
Fremdbestimmung – Selbstbestimmung
Moral, Ethik, Werte und Gewissen
Ethische Blindheit und Grenzen der
Compliance Wolfgang Keck
E-Government und E-Health-Beauftragter
PVA-Koordinator für Compliance-Maßnahmen
Beispiel: Management der Wissensrisiken
Mitglied der ADV, der OCG, der ÖVO, des
Elemente wirksamer Compliance IIAA der PWM Wien und Graz
Beiratsmitglied des Future Network
Koordinator des Sozialwortes
Lessons learned
Email: wkeck@gmx.at
Tel: +43 676 933 67 52
9.12.2009-10.12.2009 IIR-Compliance öffentl. Verwaltung_W_Keck 25