Der Code of Conduct als Teil des Integrity-Managements

Mit gemeinsamen Werten vom Compliance- zum Integrity-Management

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Am 19. Mai 2022 hat unsere Kollegin Kerstin Wittemeier in ihrem Blog-Beitrag „Was ist ein Code of Conduct?“ berichtet, wie wir gemeinsam mit allen Mitarbeitenden die Strategie der SAVISCON diskutiert, entwickelt und formuliert haben. Sie hat dabei auch unseren Code of Conduct erwähnt, den wir anlässlich des Strategietreffens ganz am Anfang der Veranstaltung unterschrieben haben. In diesem Beitrag möchte ich unseren Wertekatalog im Kontext unserer Compliance-Management Aktivitäten und des Firmenwachstums einordnen.

Was unterscheidet Compliance- von Integrity Management?

Dazu gibt es viele wissenschaftlicher Abhandlungen. Ich fasse es für mich stark vereinfacht einmal so zusammen:

Im Compliance-Management werden durch Aufstellen von Regeln, Maßnahmen und Kontrollen die Mitarbeitenden angehalten, diesen von außen vorgegebenen Regeln Folge zu leisten. Das gesamte Regelwerk ist aus Sicht der Betroffenen ein externes Konstrukt, das quasi aufoktroyiert wird (ist schon sehr überspitzt, aber es ist ja schon ein bisschen so). Die Betroffenen müssen diesen Regeln für sich selbst nicht unbedingt zustimmen, aber im Rahmen des Arbeitsverhältnisses trotzdem folgen.

Im Integrity Management ist es das Ziel, die intrinsische Motivation aller Mitarbeitenden zu aktivieren, sodass sie aus sich selbst heraus das Regelwerk akzeptieren, sich dazu bekennen und entsprechend handeln, ohne groß darüber nachdenken zu müssen, was die richtige Handlung ist. Eine Art „natürliche Compliance“ vielleicht.

Wie macht man die ersten Schritte in Richtung Integrity Management?

Als erstes ist wichtig, dass es grundsätzlich einen Konsens im Team gibt, dass man sich versteht und vertraut. Wichtig ist aber auch, dass Verständnis und Vertrauen auch über die Hierarchieebenen aufgebaut werden. Damit verringert sich das Risiko der Illoyalität, das schnell zu Compliance-Verstößen führen kann (siehe auch mein Artikel „Teambuilding ist auch Risiko-Management„). Wenn man sich im Team versteht, ist es ein inneres Bedürfnis, dem Team nicht zu schaden. Das ist doch schon mal ein guter Schritt.

Der nächste Schritt ist dann, den Konsens im Team nicht nur als Bauchgefühl zu pflegen, sondern zu untersuchen, woher der Konsens, das Vertrauen, das Verständnis eigentlich kommen. Das haben wir in mehreren Events umgesetzt. Schon im August 2021 habe ich in unserem Teambuilding-Event gefragt, wo sich jeder und jede einzelne im Team in fünf Jahren sehen würde. Dann habe ich alle gefragt, wo sie die SAVISCON in fünf Jahren sehen würden. Daraus entstand dann der Strategieprozess, der oben schon erwähnt wurde.

Aber im Jahresabschlusstreffen im Dezember letzten Jahres haben wir dann noch einen Workshop aufgesetzt, in dem in mehreren Kleingruppen eben der Code of Conduct erarbeitet wurde. Die Frage war: Welche Werte sind Euch im Kontext der Arbeit bei SAVISCON wichtig? Alle Werte wurden von den einzelnen Teams vorgestellt und in einer Liste gesammelt.

Code of Conduct finalisieren und unterschreiben

Aus dieser Liste hat dann die Geschäftsführung, also Marian Grzabel und ich, den Code of Conduct formuliert und dann noch in zwei Qualitätssicherungs-Runden mit allen Beteiligten finalisiert. Dieses Dokument spiegelt also nicht nur den Willen und die Werte der Geschäftsführung wider, sondern die Werte aller SAVISCON-Mitarbeiter.

Das letzte Team-Event war dann im Mai 2022, wo wir das SAVISCON-Team gefragt haben, ob sie bereit sind, den Code of Conduct auch zu unterschreiben. Dieser eigentlich nur formelle Akt führt erwiesenermaßen bei allen Beteiligten zu einer größeren unbewussten und intrinsischen Bindung an diese Werte (auch bei mir natürlich).

Damit ist eine weitere Stufe auf dem Weg zum Integrity Management genommen. Es ist nicht nur ein inneres Bedürfnis, dem Team nicht zu schaden, sondern es ist genauso ein inneres Bedürfnis, die Werte zu beachten und sich entsprechend zu verhalten. Wer Robert Cialdini gelesen hat, kennt das als „Consistency“, also das innere Bedürfnis, sich konsistent zu seinen vergangenen Aussagen und Taten zu verhalten.

Transparenz für neue Kollegen: Wer sind wir und was wollen wir

Wir als SAVISCON GmbH freuen uns über ein stetiges Wachstum und somit auch regelmäßig neue Kollegen. In den Anfängen haben wir die Mitarbeitenden meist aus unserem persönlichen Umfeld rekrutiert, wir kannten uns meist schon länger privat oder aus Projekten. In der Phase kann man sich relativ sicher sein, dass die „Neuen“ ins Team passen. Mit steigendem Wachstum werden aber immer mehr „normale“ Recruiting-Prozesse zum Einsatz kommen. Man wird als Einstellender mit komplett unbekannten Menschen über das mögliche Arbeitsverhältnis verhandeln.
Wenn es so weit ist, ist es aus unserer Überzeugung heraus wichtig, dass die Werte des schon vorhandenen Teams auch transparent Richtung Bewerber transportiert werden können. Neue Mitarbeitende sollen wissen, in welchem Umfeld sie starten werden, nicht nur von den Aufgaben her, sondern eben im kollegialen Umfeld und auch im Verhältnis zu Kunden und Dritten. Wer sich im Bewerbungsgespräch hier nicht wiederfindet, wird sich in der Regel anders orientieren. Damit, so sind wir überzeugt, können wir es schaffen, die vorhandene Harmonie innerhalb des Teams auch zukünftig zu behalten.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir: XING Profil Ingo Simon LinkedIn Profil Ingo Simon

 

Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden

HinSchG mit einer Software abbilden

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Hinweisgeberschutzgesetz ist noch immer nicht zu nationalem Recht geworden. Deutschland hat den von der EU gesetzten Termin zur Einführung eines Gesetzes, das die EU-Whistleblower-Richtlinie umsetzt, am 17.12.2021 verstreichen lassen. Die aktuelle Bundesregierung schreibt im Koalitionsvertrag, dass sie das Gesetz umsetzen wird, jedoch binden die aktuellen Krisen vorerst die vorhandenen Ressourcen.

„Na gut“ könnte man meinen, „dann stelle ich das zurück, bis es wieder auf der Agenda erscheint. Dann diskutieren die ohnehin noch so lange, dass mir reichlich Zeit für einen Umsetzung bleibt“. Aus meiner Sicht ist das keine gute Idee, zeigt doch die Regierung in vielen Themen recht große Einigkeit. Und die EU-Kommission hat am 27. Januar 2022 mit der Einleitung des förmlichen Vertragsverletzungsverfahrens gegen Deutschland den Druck erhöht. Das Gesetz könnte also schneller kommen, als derzeit vermutet.

Das sind Argumente, um sich mit der Einführung eines Hinweisgebersystems genau jetzt auseinanderzusetzen. In diesem Artikel möchte ich aufzeigen, welche Punkte wesentlich für die Umsetzung eines digitalen Hinweisgebersystems sind (Stichwort im folgenden Text: „Praxis-Tipp“). Dazu orientieren wir uns an den Kernanforderungen des Referentenentwurfs (RefE). Seine für diesen Kontext relevanten Anforderungen finden sich relativ deckungsgleich auch in der EU-Richtlinie wieder.

Zentrale Anforderung: Einrichtung einer internen Meldestelle

Diese Anforderung findet sich im Referentenentwurf genauso wie in der EU-Richtlinie (Artikel 7 Abs (2)). Sie ist die Grundlage für die Einführung eines Hinweisgebersystems: Die Unternehmen und Organisationen sollen dafür Sorge tragen, dass sie eingehende Meldungen intern unter den Voraussetzungen des Hinweisgeberschutzgesetzes abarbeiten können.

Praxis-Tipp: Ein Hinweisgebersystem stellt die Pforte zur internen Meldestelle dar.

Artikel 8 der Richtlinie (Artikel 12 im RefE) schreibt für Unternehmen und Organisation die Pflicht vor, diese Pforte einzurichten. Grundsätzlich muss, bleiben wir beim Bild der Pforte, diese für alle Mitarbeitenden der Organisation offen sein. Zusätzlich kann sie aber auch für alle Personen geöffnet werden, die mit der Organisation beruflich zu tun haben, z. B. Lieferanten, Dienstleister, etc.

Praxis-Tipp: Neben Telefon, Briefkasten und offener Tür benötigt die Organisation eine digitale Pforte, die die Abgabe von Meldungen ermöglicht. Diese digitale Pforte musss dort präsent sein, wo die o. g. Personen darauf Zugriff haben. Es empfiehlt sich also die Bereitstellung der digitalen Pforte im Intranet und – sofern gewollt – auch auf der Webseite der Organisation.

Festlegung des Verfahrens: funktionale Mindestanforderung für ein Hinweisgebersystem

Im Artikel 9 der EU-Richtlinie stehen die prozessualen Anforderungen für ein Hinweisgebersystem. Hier steht die Wahrung der Vertraulichkeit für die meldende Person, aber auch für möglicherweise in der Meldung genannte Dritte, ganz vorne.

Praxis-Tipp: Ein System muss über Möglichkeiten verfügen, die Rollen und Rechte an entsprechende Personen so zu verteilen, dass diese Vertraulichkeit gewährleistet wird. Übrigens heißt das, dass vor der Implementierung eines Systems ein entsprechender Prozess definiert werden muss.

Interessanterweise sieht die EU-Richtlinie eine anonyme Meldung vor, schränkt aber ein, dass die Nationalstaaten entscheiden müssen, ob anonyme Meldungen bearbeitet werden müssen. Tatsächlich wird es im Referentenentwurf abgelehnt, die Bearbeitung anonymer Meldungen zur Pflicht zu machen. Eine Schwäche im Entwurf, ist es doch erwiesen, dass ein Hinweisgebersystem eben genau dann vermehrt genutzt wird, wenn es die Möglichkeit bietet, (vorerst) anonym die Meldung abzugeben. Also sollte ein System auch eine anonyme Meldung zulassen und Werkzeuge zur Verfügung stellen, welche die anonyme Kommunikation zwischen der Meldestelle und der meldenden Person mindestens so lange ermöglicht, bis ein ausreichendes Vertrauensverhältnis besteht, um sich zu offenbaren.

Praxis-Tipp: Es gibt diverse technische Möglichkeiten, die digitale Pforte auch anonymen Meldenden zu öffnen. Das kann mit einem generierten E-Mail-Account gehen, oder mit Formularen auf Webseiten. Wichtig: Auch diese anonyme Kommunikation muss vollständig dokumentiert und nachvollziehbar sein. Außerdem muss die digitale Pforte technisch so implementiert sein, dass z. B. bei Meldungen via Intranet keine technischen Rückschlüsse auf die anonym meldende Person gezogen werden können.

Screenshot von dem anonymen Chat zwischen Mitarbeiter und Hinweisgeber im SAVISCON GRC-OCKPIT.

Eine Chatfunktion bietet die Möglichkeit, Informationen und Anhänge beidseitig zu teilen. Der Chat ist Kommunikationsmittel der Wahl, bis die meldende Person ihre Kontaktdaten offenbaren will. Die Screenshots zeigen das Verfahren beispielhaft am GRC-COCKPIT der SAVISCON GmbH.

Die letzten wichtigen Anforderungen befassen sich mit dem zeitlichen Ablauf des Verfahrens. Nach spätestens 7 Tagen soll die meldende Person eine Eingangsbestätigung bekommen. Nach spätestens 3 weiteren Monaten soll die Information über die Folgemaßnahmen an die meldende Person kommuniziert werden. Sonst hat diese das Recht, sich an externe Meldestellen oder gar an die Öffentlichkeit zu wenden.

Praxis-Tipp: Das Hinweisgebersystem muss das Datum des Eingangs der Meldung speichern. Auch bei anonymen Meldungen muss ein technisches Verfahren bereitgestellt werden, wie die Bestätigung die meldende Person erreicht. Auf Basis des Eingangsdatums muss das System Fristen setzen, wann die Bearbeitung insoweit beendet sein muss, dass Folgemaßnahmen auf den Weg gebracht wurden. Überschrittene Fristen sollten zu Alarmen oder zur Eskalation führen.

Screenshot vom Health Check im SAVISCON GRC-COCKPIT.

Der Health Check im SAVISCON GRC-COCKPIT gibt Übersicht über den Status in Bezug auf die Fristen.

Fazit

Die Bereitstellung und der Betrieb eines Hinweisgebersystems ist ein wesentlicher Teilprozess des Compliance Managements (siehe auch DIN ISO 37301 Abs A.8.3). Allein die Tatsache, dass eine Organisation ein Hinweisgebersystem bereitstellt, hält potenzielle Täter davon ab, sich offensichtlich non-compliant zu verhalten.
Die Anforderungen, die von einem Hinweisgebersystems erfüllt werden müssen, sind recht klar in den gesetzlichen Grundlagen dargelegt. Bei der Auswahl eines Systems sollten daher zwei Dinge eine wesentliche Rolle spielen:

  • Die möglichst nahtlose Einbindung in ein digitales Compliance-Managementsystem
  • Die Konzentration auf die wesentlichen Anforderungen: digitale Pforte, Wahrung der Vertraulichkeit, Einhaltung der Fristen

Wenn man sich nicht durch lange Feature-Listen vom Wesentlichen ablenken lässt, kann die Einführung eines digitalen Hinweisgebersystems ihren Schrecken verlieren und auch mit überschaubarem Budget und Zeitaufwand durchgeführt werden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Wie funktioniert ein Personalwechsel im Risiko-Management?

Wissenstransfer & gemeinsames Verständnis aufbauen

Von Marcel Steur, Consultant Risiko-Management & GRC der SAVISCON GmbH

Vielleicht ist es Ihnen schon aufgefallen: Es gab im SAVISCON-Blog lange keinen Beitrag mehr zum Thema Risiko-Management. Das hat auch einen Grund, denn unser Mitarbeiter, der bisher das Risiko-Management verantwortet hat – Uwe Straßberger – ist im März 2022 in den Ruhestand gegangen. Doch seit April ergänze ich, Marcel Steur (Consultant Risiko-Management & GRC), das SAVISCON-Team und blogge zukünftig über alle Themen rund um das Risiko-Management. Qua akademischer Ausbildung bin ich Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Die Kontaktbereiche mit dem Risiko-Management waren bisher quantitativer Natur, also mathematisch- und zahlengetrieben. Mein Wirkungsbereich begann also, wenn Risiken bereits identifiziert, als relevant definiert und beschrieben wurden. Meine akademischen Schwerpunkte waren das Schließen einer Risikobewertung aus Rohdaten und die Risikoaggregation aus Einzelrisiken mit verschiedenen Kennzahlen.

Orientierungsphase: Mein Start ins SAVISCON-Risiko-Management

Mit dem aktuellen Wachstum der SAVISCON GmbH verändern sich auch die Abteilungen, interne Strukturen, das Personal wird umgeplant und Zuständigkeiten verlagern sich. Zu Beginn meiner Tätigkeit habe ich an einer Schulung teilgenommen, in der ich das vollständige Risiko-Management, den bundesweiten Stand, die typischen Prozesse und die Umsetzungsmethoden durchlaufen habe. Mit diesen Informationen habe ich mir das interne Risiko-Management, insbesondere die Risiken, den Risiko-Management-Leitfaden und die internen Bereiche und deren Zuständigkeiten angesehen und mich in diese Strukturen eingearbeitet. Mit dem Überblick der internen Strukturen mussten einige Fragen über meinen geplanten Zuständigkeitsbereich geklärt werden, damit zum einen kein Teilbereich ohne Zuständigkeit verbleibt und zum anderen kein Teilbereich mit doppelter Zuständigkeit geplant wird.

Definitionsphase: Gemeinsame Definition von „Risiko“

Beim Einsehen der Risiken stellte ich verschiedene Arten des Anlegens von Risiken fest. Dies resultierte aus jahrelangem Anlegen von Risiken durch unterschiedliche Zuständige mit jeweils anderer Sicht- und Denkweise. Ich musste „das Risiko“ also für mich klar erfassen und definieren. Grundsätzlich beschreibt das Risiko eine Wahrscheinlichkeit in einer kausalen Kette, es steht also zwischen Ursache und Wirkung. Diese kausale Kette beginnt mit einer Ursache, die sich wahrscheinlich realisieren könnte, eine negative Auswirkung auf vorhandene Prozesse hat und damit ein Unternehmensziel gefährdet oder verhindert.
Als Beispiel hätte ein veralteter Fuhrpark (Ursache) eine nicht zu vernachlässigende Wahrscheinlichkeit, dass eines der Fahrzeuge ausfällt (Risiko) und der das Fahrzeug nutzende Mitarbeiter nicht rechtzeitig zu einem Kundentermin kommt (Auswirkung). Damit wäre das Unternehmensziel „hohe Kundenzufriedenheit erreichen“ gefährdet.
Laut dieser klaren Definition war es mir möglich zu erkennen, dass in einigen der internen Risiken nicht genau das Risiko von der Ursache oder die Auswirkung vom Risiko getrennt eingetragen war.

Hier drei Beispiele für unklare Eintragungen:

  • Der Ausbruch einer neuen COVID-Variante ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Ursache, dessen Risiko die mögliche Erkrankung eines Mitarbeiters wäre, was zum Ausfall eines Mitarbeiters führen könnte.
  • Die Handlungsunfähigkeit aller Mitarbeiter wegen IT-Problemen ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Auswirkung, dessen zugehöriges Risiko der Ausfall des Unternehmensservers ist, der sich aus der Ursache von schädlichen IT-Fremdeinwirkungen ergibt.
  • Das Unterschreiten des geplanten Umsatzwachstums von 10 % ist ein Risiko für das Unternehmen – Hier handelt es sich um das Nichterreichen eines Unternehmensziels, das durch Auswirkungen gefährdet oder verhindert werden könnte. Hierbei kann es jedoch viele Auswirkungen geben, die sich aus unterschiedlichsten Risiken realisieren können, die sich aus verschiedensten Ursachen ergeben könnten.

Des Weiteren waren die eingetragenen Risiken in dreistelliger Anzahl für einen zentralen Risiko-Manager nicht mehr leicht zu überblicken. Dafür sollte ein Kategorisierungs-Konzept für die internen Risiken entwickelt und eingeführt werden. Die Möglichkeiten von Risiko-Kategorisierungen sind jedoch immens. Aus verschiedenen Risiko-Management-Fachbüchern folgen unzählige Risikoarten und Risikokategorien. Mit meinem ganzheitlichen Ansatz, alle möglichen Risiken zu identifizieren und daraus dann eine Beurteilung der Risikorelevanz ableiten zu können, bin ich sehr schnell an meine Grenzen gestoßen. Als vorerst klüger erwies es sich, Risikokategorien aus der aktuellen Unternehmensrealität zu definieren.
Beispielsweise könnten sich die Risikokategorien aus den Vermögengegenständen, den wichtigen Mitarbeitern, den Gefährdungen von Unternehmenszielen oder Gründe für negative Prozessveränderungen in der Vergangenheit ableiten. Diese primären Risikokategorien können auch im Rahmen von Workshops oder Brainstormings gebildet werden.
Um schnell den ersten Schritt gehen zu können, wurden die Risiken der SAVISCON vorerst nach den vier internen Zuständigkeitsbereichen Compliance, IT-Sicherheit, Projekte und Operatives Risiko-Management kategorisiert. Die identifizierten, kategorisierten und damit überschaubaren Risiken haben nun ihre erste Zuordnung erhalten.

Die nächsten Schritte: Anpassen des Risiko-Management-Leitfadens

Im nächsten Schritt wird es um den Risiko-Management-Leitfaden gehen, der nach der starken Wachstumsphase der SAVISCON GmbH, an Komplexität zunehmen wird. Aktuell abgestimmt wird die Einführung eines siebenstufigen Regelkreises aus Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation (Brutto), Risikosteuerung, Risikoaggregation (Netto) und Risikoüberwachung und auf die Anpassung auf die verschiedenen Zuständigkeiten. Diesen umfangreichen Prozess der Operationalisierung mit allen Kennzahlen und Details werde ich im nächsten Blogbeitrag darlegen, wenn wir den Prozess abgeschlossen haben.

Über den Autor

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel