Gesetz zu Schutz der Schwachen (Zitat aus dem Gesetzestext):
"To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes"
Public Law 107 - 207; July 30, 2001; 107th Congress, US
Es gibt national und international Gesetze und Verordnungen, die dem Schutz von "schwachen" Interessierten (Shareholder oder Stakeholder) dienen. Diese Gesetze und Verordnungen sind oft Treiber für ein Risikomanagement. Dieses Risikomanagement soll sicherstellen, dass die Vorgaben der Gesetze und Verordnungen eingehalten werden. Letzten Endes ist dieses Risikomanagement ein Compliance Management.
Im Fall des US-amerikanischen SOX sind die Anleger (Shareholder) die Schwachen, die geschützt werden sollen.
Sarbanes-Oxley Act ist ein typisches Beispiel für einen gesetzlichen Treiber für Risikomanagement. Es wird ein "Wert" von einer "Interessensgruppe" unter gesetzlichen Schutz gestellt. Das Gesetz wird in einem (Risiko-) Managementsystem umgesetzt.
Vor dem Hintergrund beruflicher Interessen und Erfahrungen mit Risikomanagement als Manager, Unternehmer, Autor, Dozent, sowie Gründer und Leiter des Steinbeis-Transferzentrums (STZ) Risikomanagement schreibe ich in diesem Blog meine Meinung.
Dienstag, 25. August 2015
Dienstag, 7. Juli 2015
Compliance goes Mittelstand: ISO 19600:2014
Natürlich überrascht es nicht, dass nicht nur große (unternehmerische) Kapitalgesellschaften, sondern auch (vergleichsweise) kleinere (unternehmerische) Gesellschaften jeglicher Rechtsform sich in einem Zustand von „Compliance“ zu rechtlich relevanten Anforderungen jeglicher Art befinden sollen. Der Zustand „full compliance“ ist ein hehres Ziel und en Wert an sich. Er wird immer wieder karikiert durch die prominenten Fälle von (unschuldsvermuteter) „poor compliance“ als Gratwanderung zwischen Ordnungswidrigkeit und Straftat, die bei den ganz Großen mit Rückstellungen und Zahlungen in Milliardenhöhe in den Medien sind.
Natürlich überrascht es nicht, dass sich die ISO auch dieses Sachverhalts „Compliance“ annimmt, und ihn zum zu managenden Gegenstand einer Managementnorm für alle macht. Die ISO nimmt den generischen Rahmen und die generischen Inhalte der neuen Revision von Managementsystemen. „Compliance“ steht inmitten des PDCA-Zyklus und die Organisation plant, setzt um, misst und verbessert in alter Tradition. Aktuell nicht als „Anforderungsnorm“ zur Zertifizierung gedacht, und damit kein Zertifikat, was - wenn es denn eines gäbe - nicht den Zustand von „full compliance“ zertifizieren würde, sondern nur die dokumentieren Aktivitäten, „Compliance“ zu managen.
Interessant ist das durchaus für den Teil der Managementsysteme, der regulativen Anforderungen aller Art enthält und bisher mit der Führung eines primitiven „Rechtskatasters“ gemanagt wird.
Natürlich überrascht es nicht, dass sich die ISO auch dieses Sachverhalts „Compliance“ annimmt, und ihn zum zu managenden Gegenstand einer Managementnorm für alle macht. Die ISO nimmt den generischen Rahmen und die generischen Inhalte der neuen Revision von Managementsystemen. „Compliance“ steht inmitten des PDCA-Zyklus und die Organisation plant, setzt um, misst und verbessert in alter Tradition. Aktuell nicht als „Anforderungsnorm“ zur Zertifizierung gedacht, und damit kein Zertifikat, was - wenn es denn eines gäbe - nicht den Zustand von „full compliance“ zertifizieren würde, sondern nur die dokumentieren Aktivitäten, „Compliance“ zu managen.
Interessant ist das durchaus für den Teil der Managementsysteme, der regulativen Anforderungen aller Art enthält und bisher mit der Führung eines primitiven „Rechtskatasters“ gemanagt wird.
Montag, 15. Juni 2015
Risikomanagementsoftware: 6. Workflow I
Die wahrscheinlich größte Unterstützung von Management erfolgt durch Software, welche den Workflow des Managements entsprechend des Managementprozesses vorgibt, insbesondere Entscheidungen anmahnt und Handlungen begleitet. Diese Logistik von Information und Dokumentation - Informationsmanagement und Dokumentenmanagement - kann grundsätzlich vollständig automatisiert (programmiert!) werden. Der geplante Ablauf (programmiert!) des Betriebs des Managementsystems gibt vor (Information) wer (Rolle) wann (Termin) was (Entscheidung / Handlung) tut und registriert (Dokumentation) die Aktivitäten.
Dabei ist z. Zt. noch gängige Praxis, dass der Mensch in bestimmten Rollen Entscheidungen auf der Grundlage von Information über Sachen und Sachverhalte trifft und Handlungen initiiert, die von Menschen in bestimmten Rollen und von Maschinen ausgeführt werden.
(Die Problematik der Entscheidungen durch Mensch oder Maschine wurde in einem vorangegangenen Beitrag angedeutet.)
Dieser Workflow überlagert alle Aktivitäten in einem Managementsystem.
Dienstag, 2. Juni 2015
Governance, Risk & Compliance, GRC: III. Compliance
Der
Sachverhalt ist in allen Unternehmen derselbe:
Verantwortung
für Werte. Werte bewahren und mehren.
Das
Management von Werten unterliegt sehr vielen Randbedingungen. Insbesondere
gesetzliche und gesetzesähnliche Bedingungen schränken Entscheidungen und
Handlungen des Managements von Werten ein. Mit einem Wert, der einen
„verbrieft“ als Eigentum, gehört, darf man nicht alles tun. Mit einem Wert, der
einen von einem Anderen „anvertraut“ worden ist, darf man nicht alles tun. Management
von Compliance ist Management in Übereinstimmung mit relevanten Bedingungen:
Das
Ziel ist: „full compliance“.
Governance, Risk & Compliance, GRC: II. Risk
Der
Sachverhalt ist in allen Unternehmen derselbe:
Verantwortung
für Werte. Werte bewahren und mehren.
Werten
stehen Gefahren, gefährlichen Umständen gegenüber. Der aktuelle bestehende Wert
ist gefährdet. Zukünftig geplante Werte sind gefährdet. Eine Gefahr kommt durch
ein mögliches Ereignis auf einen Wert zur Wirkung. Ungewiss ist ob, dieses
Ereignis eintritt. Die Wirkung ist Schaden durch Verlust von realen bereits
bestehenden Werten oder von imaginären zukünftig geplanten Werten. Management
von Risiko ist die Ungewissheit und die Auswirkung zu steuern:
Das
Ziel ist: „managed risk“.
Governance, Risk & Compliance, GRC: I. Governance
Der
Sachverhalt ist in allen Unternehmen derselbe:
Verantwortung
für Werte. Werte bewahren und mehren.
Verantwortung
für eigene und anvertraute Werte übernehmen durch Entscheiden und durch
Handeln; durch Management von Werten. Durch Führen weiterer Personen, die in
das Wertemanagement eingebunden sind. Durch Kontrolle dieser Führung. Durch
Delegation von Verantwortung an weitere Personen. Durch Kontrolle dieser
Delegation. Durch Anordnen von Maßnahmen. Durch Kontrolle dieser Anordnung. Für
Erfolg und Misserfolg, für Gewinn und Verlust angemessen Rechenschaft tragen.
Das
Ziel ist: „good governance“
Montag, 1. Juni 2015
„GRC light“ – die ISO-Normen zu Managementsystemen
GRC ist nicht nur etwas für Aktiengesellschaften, um den Shareholder Value zu treiben.
Mit der kommenden Revision von ISO-Normen zu Managementsystemen (konkret: die ISO 9001:2015 Quality Management Systems – Requirements) irritiert die neue Anforderung nach einem Risiko- und Chancenmanagement die Quali-Täter.
Wer sich etwas umtut außerhalb der ISO-Welt (da gibt es noch viele Welten ...) der erkennt, dass die ISO-Normen ganz vorsichtig und ganz langsam das GRC-Konzept aufnehmen:
G - Governance: ... die Verantwortung des Top Managements
R - Risk: ... die Sicherung von Werten
C - Compliance: ... das Rechtskataster
Wir kennen Governance aus so lapidaren Sätzen im Managementhandbuch wie „Die Oberste Leitung erklärt ihre Verantwortung für das Qualitätsmanagement.“
Wir kennen Compliance aus Organisationsanweisungen mit Text wie: „Das Unternehmen führt ein Rechtskataster zu Umweltschutz.“
Wir werden Risk kennenlernen, wo plötzlich in den Aufzeichnungen des Qualitätsmanagements eine 2D Risiko- und Chancenmatrix abgebildet ist.
Die ISO bewegt sich ...
Abonnieren
Posts (Atom)