Was haben Fehlerkultur, Hinweisgeberschutz und GRC gemeinsam?

Warum es sich lohnt, einen 360-Grad-Blick zu wagen und auch in KUM nachhaltige Management- und Compliance-Strukturen im Sinne von Governance, Risk & Compliance zu etablieren

Welche Handlungspflichten und Umsetzungsempfehlungen sich für Wirtschaftsunternehmen aus der europäischen Whistleblower-Richtlinie und dem jüngst in Kraft getretenen Hinweisgeberschutzgesetz (HinSchG) ergeben, haben wir unter whistleblower-helpdesk.de zusammengefasst. Compliance-technisch empfiehlt sich aber auch ein 360-Grad-Blick. Denn viele Unternehmen, KUM wie Konzerne, sehen sich im Binnenmarkt immer weiter anwachsenden Compliance-, Regulierungs- und Administrationsaufgaben ausgesetzt. Diese führen, abhängig von branchenspezifischen Anforderungen, zu einer Zunahme an Managementaufgaben. Denn der Geschäftsführung bzw. dem Vorstand obliegt nach dem GmbHG bzw. dem AktG die Verantwortung und Sorgfalt bei der Geschäftstätigkeit, Organisation und Systematisierung. Das heißt: Compliance ist Chefsache. Dies wird auch von den Gerichten immer wieder herausgestellt.

Da Händler, Hersteller und Dienstleister typischerweise ihr Produkt- und Dienstleistungsportfolio, Kunden und Marktbeleiter sehr gut im Blick haben, steht in Unternehmen eine nachhaltige Fehlerkultur weniger im Fokus. Dies ist nicht weiter verwunderlich, da es bereits herausfordernd ist, die spezifischen Dienstleistungs-, Produkt- und Kundenanforderungen zu überwachen. Das Navigieren durch den Vorschriften-Dschungel, die Schaffung von Strukturen mit Leitlinien und Workflow, Optimierungen bei Effizienzsteigerungen, Risikominimierung, Wirksamkeitskontrollen, Notfallkonzepte und ein Personaldialog zur Optimierung der Unternehmenskultur und Qualitätssteigerung sind Aufgaben, die erhebliche Anstrengung erfordern. Fehler könnten Anlass sein, durch neue Richtlinien evtl. Rechtsverletzungen abzustellen und die Regeltreue als Governance-Leitlinien in das Bewusstsein und den Workflow im Unternehmens- und Kundeninteresse zu etablieren- zum Vorteil von Nachhaltigkeit, Produktsicherheit, Effizienz- und Qualitätssteigerung.

Generell ist es ein Prüfungs- und Abwägungsvorgang im Einzelfall, bei einem Fehler im Unternehmen eine einzelne natürliche Person als „Schuldigen“ auszumachen oder auf „Organisationsverschulden“ abzustellen. Für einen sinnvollen Umgang mit einem Fehler muss auch nicht entscheidend sein, den etwaigen Anspruchsgegnern, Aufsichtsbehörden, Wettbewerbern oder Gerichten eine Person aus einer Fachabteilung oder ein leitendes Organ zu benennen. Als hilfreich erweisen sich Kontrollfragen, wie z.B.:

  • Welche Fehler treten in meinem Unternehmen auf?
  • Existieren Abläufe, in denen Fehler oft passieren?
  • Gibt es eine positive Fehlerkultur mit einer betrieblichen Aufarbeitung und einem Lerneffekt?
  • Tendieren die Beschäftigten dazu, Fehler vertuschen zu wollen?
  • Was lebt die Unternehmensleitung der Belegschaft vor?
  • Gibt es betriebliche Anlaufstellen, gibt es externe Ombudsleute?

Handlungs- und Dokumentationspflichten, wie bezüglich technischer und organisatorischer Maßnahmen, ergeben sich in diesem Compliance-Kontext aus Kategorien gesetzlicher Sorgfaltspflichten und Haftungsregeln für Geschäftsführung, Vorstand, Aufsichtsrat sowie für Arbeitnehmer. Es liegt nahe, dass Kunden, Aufsichtsbehörden, Gerichte und Versicherungen die Implementierung von Vorgaben und Verfahren zur Fehlervermeidung sowie zur Überwachung der Regeltreue voraussetzen und Unternehmen ohne nachhaltige Unternehmenskultur abstrafen. Unternehmen, die beispielsweise keine hinreichend sichere IT- und Datenschutz-Compliance vorweisen, laufen Gefahr, sich für Projekte von privaten wie öffentlichen Auftraggebern selbst auszuschließen oder keine (Cyberschutz-)Versicherung zu bekommen oder sich im Falle eines Datenverlustes nicht hinreichend exkulpieren zu können.

Praktische Lösungsansätze, um diesen vielfältigen Anforderungen gerecht zu werden, setzen nach der DDW-Methodik bedarfsgerecht in der Empfehlung zur Prozessanalyse, Strukturierung, Systematisierung von Produkt-, Dienstleistung- und Kundensegmenten an im Sinne von GRC – Governance, Risk & Compliance. Was dies bedeutet, führen wir nachfolgend kursorisch weiter aus. Denn Unternehmen sind in Europa mit immer mehr „Bürokratie“, Kontrolllasten und Managementaufgaben konfrontiert, welche ein Höchstmaß an Systematisierung und Prozessoptimierung bedingen, soweit der operative Geschäftszweck des erfolgreichen Verkaufs von Waren und Dienstleistungen dauerhaft sichergestellt werden soll: Dazu gehören:

  • Klima-, Umwelt- und Gesundheitsschutz,
  • Nachhaltigkeit bei Lieferketten,
  • Produktion und Vertrieb sowie
  • Mitarbeiter- und Kundenaspekte.

Praxisbeispiele:

  • Soweit aus Arbeitgebersicht ein Großteil der Belegschaft durch diverse gesamtgesellschaftliche Entwicklungen und individuelle Bedürfnisse eine Tätigkeit im Home Office favorisiert und jüngere Nachwuchsgenerationen vermehrt an einer guten Work-Life-Balance und maximalem Verdienst bei überschaubarem Einsatz interessiert sind, bedarf es der Sicherstellung von Arbeitsabläufen und Förderung von Dialog-, Aus- und Fortbildungsangeboten, „Awareness“, Unternehmens-Richtlinien und Betriebsvereinbarungen. Dafür sollten die in den Wertschöpfungsketten beteiligten Menschen prozesstechnisch so integriert werden, dass kein Reibungsverlust entsteht.
  • Es ist plausibel, dass ein Mode- und Textil-Handelsunternehmen im stationären Handel und im E-/M-Commerce alle Vorgaben beachten muss, um Verbraucherinformationspflichten, Textilkennzeichnung, Fernabsatz-, Datenschutz, Wettbewerbsrecht, IT-Sicherheit, Lieferketten etc. sicherzustellen.
  • Für den Lebensmittelhersteller und Händler gelten wiederum spezifische Lebensmittelgesetze, für den Anbieter von Medizinprodukten besondere Regelungen für Elektronikgeräte etc. Diese jeweiligen fach- und branchenspezifischen Anforderungen müssen ebenso eingehalten werden wie grundlegende steuer-, gesellschafts- und kartellrechtliche Pflichten und IT-sicherheits- und datenschutzspezifische Compliance-Pflichten. Der Gesetzgeber verpflichtet die Normadressaten der DSGVO z.B. zu technischen und organisatorischen Maßnahmen (TOM‘s), d.h. zu Umsetzungen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. In der Unternehmenswelt führen diese vielfältigen Faktoren und strengeren Regelungstatbestände zu einer Zunahme und Verdichtung von Compliance. So setzt eine Cyberschutzversicherung, die ein wichtiger Absicherungsbaustein in der Geschäftswelt ist, voraus, dass der Versicherungsnehmer über eine hinreichend IT- und Datenschutz-Compliance verfügt.

Praxisumsetzungen:

  • Abhilfe und Ordnung können Methoden, Strukturen und Orientierungshilfen, Prüf- und Checklisten, Audits sowie passende Vertragsmuster und externe, unabhängige Beratung, Systeme, Tools und Ombudsleute schaffen.
  • Abgesehen von der Vermeidung von Auslegungs- und Rechtsstreitigkeiten bringt es Vertragspartnern echte Vorteile, bei Projekten, selbst wenn diese bewusst agil umgesetzt werden, systematische Strukturen zu berücksichtigen und eine gewisse Distanz zu der Projektumsetzung zu haben, um den Erfolg sicherzustellen.
  • Vorteile sind z.B. zu erzielen bei der Einführung von ISMS (Information Security Management System), d.h. einem Managementsystem für Informationssicherheit und Etablierung von GRC-Strukturen und -Tools. Damit können Verfahren und Regeln innerhalb einer Organisation etabliert werden. Diese dienen dazu, die Informationssicherheit verlässlich zu definieren, zu steuern, zu kontrollieren, zu erhalten, zu pflegen und fortlaufend zu optimieren.
  • Die Erfassung und konsequente Strukturierung und Fortentwicklung der Compliance führt in der Praxis zu einer Auseinandersetzung mit dem regulativen Rahmen und einer Abarbeitung eines betriebsbezogenen Sicherheitskatalogs sowie Aufgaben, welche abhängig von der Unternehmensgröße stark skaliert werden können.Infolgedessen wird immer mehr Unternehmen bzw. deren leitenden Orangen bewusst, wie groß die praktische Relevanz ist. Compliance erfordert die Bereitstellung von Ressourcen, Zeit, Material, Kapital. Die Absicherung durch Frameworks und ggf. Zertifizierungen kann Sinn machen. Eine Zertifizierung nach DIN ISO 27001 kann beispielsweise Qualität und eine „Beweislastumkehr“ bedeuten. Stets muss geprüft werden, wie stark die Ausbaugrade der Compliance-Absicherung sein sollen. Das Sparen an der falschen Stelle kann zu kapitalen Folgen führen.
  • Planung und Abstimmungen von internen und externen Fachabteilungen und Beratern sind das A und O. Da die Sicherheitslage hinsichtlich IT laut BSI immer bedrohlicher wird, geht es bei Compliance um eine Daueraufgabe. NeueTechnologien wie KI- und Blockchain-Anwendungenverlangen mehr Prüfungs- und Sicherungsaufwand. Big-Data-Analysen, die Konvergenz der Medien, mobile Endgeräte, Cloud-Computingsowie Trends wie„RegTech“ zeigen ein zunehmend technologiegetriebenes Koordinatensystem. Bei diesem sind die Risiken systemimmanent: Es bestehen Datenschutzrechtsrisiken, insbesondere Datendiebstahl, Ransomware-Attacken, Hacking, Persönlichkeits-, Urheberrechts-, Markenverletzungen etc.

Bei der Degen Deicke Wagner GmbH können Kunden nur die Compliance-Absicherung nach dem HinSchG erhalten. Dies sichert auch die positive Fehlerkultur im Unternehmen als Statement zur Regeltreue.

Im Bedarfsfall können aber auch weitergehende Unterstützungen offeriert werden. Dabei kann auf das GRC-Modell zurückgegriffen werden. Dieses beinhaltet im Wesentlichen drei elementare Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung, nämlich:

  • Governance: Die Unternehmensführung wird mittels definierter Richtlinien abgesichert. Abgesehen von der Festlegung von Unternehmenszielen geht es um die Strukturierung der in Ansatz zu bringenden Methodik für die Umsetzung und den Workflow. Es geht zudem um die Planung und Koordination der erforderlichen Ressourcen zur Zielerreichung.
  • Risk: Hier geht es um das Risikomanagement, d.h. die Implementierung und Prüfung einer Risikomatrix mit bekannten und unbekannten Gefahren und Analysen derselben. Folgeabschätzungen und das frühzeitige Bewerten von Risiken, Strategien zur Risikominimierung sowie Notfall-, Deseskalations- und Lösungskonzepte gehören zu diesem Komplex.
  • Compliance: Dabei geht es um das Einhalten interner wie externer Vorschriften für die Bereitstellung und Verarbeitung von Daten, Informationen. Zu berücksichtigen sind Vorgaben aus Normierungsbestrebungen und Zugriffsreglementierung für die Daten und gesetzliche Rahmenbedingungen für deren Verwendung. Demzufolge wird der gesamte moralische und ethische Wertekanon eines Unternehmens abgedeckt.

Fazit:

Um branchen- und bedarfsgerechte Parameter und Prozessoptimierungen zu erreichen, müssen sich Unternehmen mit einer komplexen Verteilung von Compliance-, Gestaltung- und Beziehungsebenen auseinandersetzen: Die gesetzlichen und gesellschaftlichen Normen, die überregionalen und internationalen Geschäftsbeziehungen, die Ziele von Shareholdern und Stakeholdern, die Organisation, Kontrolle und Einhaltung von Prozessen. Die „digitale Transformation“, die Unternehmen in nahezu jeder Branche durchlaufen, führt zu Erkenntnissen wie: „Ohne Cyber-Sicherheit keine erfolgreiche Digitalisierung“. Bei jedem Transformationsprozess und Technologieprojekt wird die Frage aufgeworfen, welche Schutzbereiche tangiert sind und wem die Daten gehören. Externe Berater und Ombudsleute unterstützen die Wertschöpfungsketten wie die Compliance-Pflichten. Unternehmen sind gut beraten, intern die gebotenen Strukturen i.S.d. GRC-Modells zu schaffen, um die Ziele, gute Qualität ihrer Dienstleistungen und Produkte zur Zufriedenheit der Kunden anbieten zu können. Lernen aus Fehlern in Kombination mit geordneten Strukturen und sicheren Prozessen, einschließlich Hinweisgeberstrukturen, stellen die Basis des wirtschaftlichen Erfolges eines Unternehmens und somit einen klaren Wettbewerbsvorteil dar.

Weitere Informationen:

Als Berater und Ombudspersonen für eine unverbindliche Anfrage oder ein konkretes Angebot stehen Ihnen Dr. Alexander Deicke, Peter Wagner und Dr. Thomas A. Degen gerne zur Verfügung.

Facebook
Twitter
LinkedIn

Verwandte Artikel

Vorstellung Dr. Thomas A. Degen

Warum arbeitete ich bei der Degen Deicke Wagner GmbH, whistleblower-helpdesk, und nicht in der Ölindustrie? Schon vor der Jahrtausendwende habe ich mich für Autos, Rasenmäher, Flugzeuge und Boote interessiert, vor allem, weil die individuelle Mobilität für die Menschheit als Synonym für Frieden und Freiheit steht. Als Computer-Fan haben mir meine Antennen zur Jahrtausendwende gesagt, als mailen, chatten und googeln noch exotisch waren, die Offerte aus der Ölindustrie abzusagen und mich in die „Wahlstation“ bei SAP nach Waldorf zu stürzen.

Weiterlesen

Whistleblower-Schutz: Schlüssel zur ethischen Unternehmenskultur

Das Hinweisgeberschutzgesetz spielt eine entscheidende Rolle, um sicherzustellen, dass Mitarbeiter sich sicher fühlen, Missstände oder unethisches Verhalten anzusprechen. Arbeitgeber sollten Richtlinien und Verfahren zur Meldung von Fehlverhalten einführen, einschließlich Vertraulichkeitsanforderungen und Schutz vor Repressalien. Es ist wichtig, effektive Kanäle für die Meldung von Bedenken gegenüber der Geschäftsleitung bereitzustellen, ohne Angst vor Vergeltungsmaßnahmen haben zu müssen.

Weiterlesen

Vorstellung Peter Wagner

Als Alternative zum Behördenweg agieren wir quasi als Treuhänder: Unternehmen vertrauen uns, dass wir die Anforderungen ihrer Meldestelle gesetzeskonform umsetzen. Und Hinweisgeber vertrauen uns, dass ihr Hinweis in vertraulicher Weise regelgerechte Beachtung findet.

Damit Sie sich ein eigenes Bild machen können, stellt sich hier ein weiterer Gründer selbst vor.

Weiterlesen

+49 177 6333972

Rückruf anfordern

info@whistleblower-helpdesk.de