Diesel and other gates ...

… präsentiert auf der globalen Bühne der großen Unternehmen das klassische Zusammenspiel des Versagens von:

• Compliance - mangelhaft: Gesetze / Regelungen nicht eingehalten
• Governance - defizitär: Verantwortung nicht geklärt
• Risk - inflationär: immaterieller und materieller Schaden möglich

Und auch das

• 11. Gebot: "Du sollst Dich nicht erwischen lassen!"

wurde übertreten.

Bild: Screenshot eines Beitrags des koreanischen Fernsehsenders arirang am 01.10.2015.

Die Perspektive "Zukunft" bei Risiko und Chance

Wenn wir uns - aus der Perspektive Risiko und Chance - mit der ungewissen Zukunft befassen, dann nutzen wir die folgenden vier Sachen Sachverhalte, um uns diese Zukunft vorzustellen:

1. Szenario: Eine Vorstellung von der Zukunft.

2. Prognose: Eine Vorhersage eines Zustands in der Zukunft.

3. Ziel: Ein geplanter, ausgewählten, vorzugswürdiger Zustand in der Zukunft.

4. Ergebnis: Ein erreichter Zustand in der Zukunft.

5. Ergebnis erreicht: Ein erreichter Zustand aus der Vergangenheit.

Der fünfte Sachverhalt ist nur der Vollständigkeit wegen aufgeführt und ist für die Thematik ohne Bedeutung.  

Szenario, Prognose, Ziel und Ergebnis sind vier verschiedene Sachen. Sie liegen in der Zukunft und sind damit virtuell und imaginär.

Eine Vorstellung (hier in Verbindung mit Szenario) ist eine bildliche und gedankliche Vorwegnahme von Merkmalen des Zustands der Zukunft und ihrer Ausprägung.  

Ein Zustand (hier in Verbindung mit Prognose, Ziel und Ergebnis) in der Zukunft ist eine Begrenzung auf auf eine Sache oder auf einen Sachverhalt. Ein Zustand wird bezüglich seiner Merkmale und deren Ausprägung durch Worte qualitativ oder halbquantitativ beschrieben und durch Zahlen quantitativ bewertet.

ISO 9001:2015 „risk based thinking“ ...

... ist das neue Credo der neuen Revision der Qualitätsmanagementnorm. Hört sich kompliziert an, ist aber ganz einfach:

Entscheidungen beim Management von Qualität werden, so die neue Anforderung der Norm, unter Einbeziehung der Perspektive „Risiko“ getroffen. Wir kennen das von der Perspektive „Kosten“. Heißt es dort üblicherweise zu einem Qualitätsziel, „Nö, wird nicht gemacht, weil zu teuer.“, könnte es jetzt auch heißen „Nö, wird nicht gemacht, weil zu riskant.“. „Riskant“ bedeutet, es ist „wahrscheinlich“, dass dieses Qualitätsziel nicht erreicht wird und das Qualitätsergebnis wahrscheinlich vom Qualitätsziel abweicht. Was dann auch wieder etwas kostet, wenn dieses Risiko einem Risikomanagement unterzogen wird, sprich, wenn vorbeugende Maßnahmen die besagten zukünftigen Abweichungen verhindern sollen. Womit wir mitten im Risikomanagement im Rahmen des Qualitätsmanagement sind. Oder im Qualitätsmanagement im Rahmen des Risikomanagements.

Das ist ein Beispiel, wo eine Managemententscheidung auf der Grundlage mehrerer Perspektiven auf einen Sachverhalt erfolgt. Die Frage ist dann, wie die Gewichtung der verschiedenen und komplementären Perspektiven ist.

Meta-Risiken, Meta-Risikomanagement

Wir planen Risikoziele in der Zukunft fest.
Wir werden Risikoergebnisse in der Zukunft erreichen.
Die Risikoergebnisse können möglicherweise von den Risikozielen abweichen.
"Risikoziele nicht erreicht.", so die Aussage
Es sind damit Meta-Risiken.
Es wird ein Meta-Risikomanagement gemacht.

Risikomanagementsoftware: 7. Workflow II

Die wesentliche Anforderung an Risikomanagementsoftware ist die, das Risikomanagement entsprechend den zutreffenden externen Anforderungen der Gesetze und Verordnungen, der Standards und Praktiken, so wie von internen geltenden Anforderungen der Risikopolitik, der Risikogrundsätze, des individuellen Systems und des zugehörigen Risikomanagementprozesses zu betreiben. Betreiben reicht von Unterstützen bis zu Entscheiden und handeln.

Sie ist minimal ein "assistierendes System", welches dem Risikomanager unterstützt. Die Risikomanagementsoftware gibt vor, wann, wer, was, wie zu entscheiden und zu handeln hat und gibt den "Workflow" vor. Die Risikomanagementsoftware folgt einem System (Systemsoftware) und nutzt Verfahren (Verfahrensoftware). In jedem Fall enthält Risikomanagementsoftware Prozesse der Kommunikation und der Dokumentation.

Sie ist maximal ein "autonomes System", welches selbsttätig entscheidet und handelt. Die Risikomanagementsoftware enthält entsprechende Kriterien zur Entscheidung und Handlung. Diese Kriterien können in der Software fest vorgegeben werden durch programmierte Limite und Optionen. Diese Kriterien können von der Software flexibel gelernt werden aus tatsächlichen gemanagten Risiken.

Das Grundproblem sowohl von assistierenden als auch von autonomen Systemen ist die Verortung von Verantwortung.

Diese Gedanken sind nicht begrenzt auf Risikomanagementsoftware, sondern gelten für jede Software, die Sachverhalte managt.

SOX - Sarbanes Oxley Act of 2002

Gesetz zu Schutz der Schwachen (Zitat aus dem Gesetzestext):

"To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes"

Public Law 107 - 207; July 30, 2001; 107th Congress, US

Es gibt national und international Gesetze und Verordnungen, die dem Schutz von "schwachen" Interessierten (Shareholder oder Stakeholder) dienen. Diese Gesetze und Verordnungen sind oft Treiber für ein Risikomanagement. Dieses Risikomanagement soll sicherstellen, dass die Vorgaben der Gesetze und Verordnungen eingehalten werden. Letzten Endes ist dieses Risikomanagement ein Compliance Management.

Im Fall des US-amerikanischen SOX sind die Anleger (Shareholder) die Schwachen, die geschützt werden sollen.

Sarbanes-Oxley Act ist ein typisches Beispiel für einen gesetzlichen Treiber für Risikomanagement. Es wird ein "Wert" von einer "Interessensgruppe" unter gesetzlichen Schutz gestellt. Das Gesetz wird in einem (Risiko-) Managementsystem umgesetzt.

Compliance goes Mittelstand: ISO 19600:2014

Natürlich überrascht es nicht, dass nicht nur große (unternehmerische) Kapitalgesellschaften, sondern auch (vergleichsweise) kleinere (unternehmerische) Gesellschaften jeglicher Rechtsform sich in einem Zustand von „Compliance“ zu rechtlich relevanten Anforderungen jeglicher Art befinden sollen. Der Zustand „full compliance“ ist ein hehres Ziel und en Wert an sich. Er wird immer wieder karikiert durch die prominenten Fälle von (unschuldsvermuteter) „poor compliance“ als Gratwanderung zwischen Ordnungswidrigkeit und Straftat, die bei den ganz Großen mit Rückstellungen und Zahlungen in Milliardenhöhe in den Medien sind.

Natürlich überrascht es nicht, dass sich die ISO auch dieses Sachverhalts „Compliance“ annimmt, und ihn zum zu managenden Gegenstand einer Managementnorm für alle macht. Die ISO nimmt den generischen Rahmen und die generischen Inhalte der neuen Revision von Managementsystemen. „Compliance“ steht inmitten des PDCA-Zyklus und die Organisation plant, setzt um, misst und verbessert in alter Tradition. Aktuell nicht als „Anforderungsnorm“ zur Zertifizierung gedacht, und damit kein Zertifikat, was - wenn es denn eines gäbe - nicht den Zustand von „full compliance“ zertifizieren würde, sondern nur die dokumentieren Aktivitäten, „Compliance“ zu managen.

Interessant ist das durchaus für den Teil der Managementsysteme, der regulativen Anforderungen aller Art enthält und bisher mit der Führung eines primitiven „Rechtskatasters“ gemanagt wird.