PVM 2023

Heute frisch angereist zur PVM nach Hagen. Die PVM ist eine Fachtagung zweier Fachgruppen der Gesellschaft für Informatik (Vorgehensmodelle und Projektmanagement) in Kooperation mit der Fachgruppe IT-Projektmanagement der GPM e.V. und PMI Germany Chapter e.V..

Dieses Jahr geht es um nachhaltige IT-Projekte.

Morgen darf ich in einem Kompaktbriefing das Thema Ethik & Compliance in Projekten vorstellen. (Die Folien gibt es hier.)

Ethik und Compliance? Da war doch mal was… Ja, richtig dazu gibt es auch ein LinkedIn Learning Training von uns.

Fundstück: Brauchbare Illegalität

Aus einem Interview der Personlaführung (4/2023) mit Stefan Kühl:

Stefan Kühl philosophiert über die Grenzen von Regeln und Compliance in Organisationen.

… Dahinter steckt die altbekannte organisationswissenschaftliche Erkenntnis, dass keine Organisation genau nach ihren formalen Regeln funktionieren kann. Im Grunde genommen gibt es sogar die implizite Erwartung an Organisationsmitglieder, flexibel zu reagieren, also etwa in einer bestimmten Situation eine Regel anders zu interpretieren als vorgesehen. Wir nennen das „brauchbare Illegalität“. Diese funktionalen Regelabweichungen machen eine Organisation überhaupt erst lebensfähig.

Personalführung 4/2023, S. 66f

Ethik & Compliance in Projekten

LinkedIn-Learning Time auf schlossBlog. Unser neues Projektmanagement-Training: Ethik und Compliance ist erschienen. Und was sich auf den ersten Blick theoretisch und abstrakt anhört, ist gar nicht so, denn es geht vor allem um Entscheidungs- und Handlungsgfähigkeit. Neugierig geworden? Dann würden wir uns auf einen neuen Kursteilnehmer freuen 😉

 

Das Compliance-Dilemma

Compliance, die Einhaltung rechtlicher und eigener verbindlicher Vorgaben und Richtlinien, scheint doch so einfach, tja wären doch unsere Regelungen widerspruchsfrei und aufeinander abgestimmt.

Und dann leben wir auch noch in einer globalisierten Welt, wo wir dann auch noch die Compliance in den verschiedenen betroffenen Rechtsräumen brauchen – ich meine jetzt nicht unterschiedliche Fachgebiete, sondern geografisch einzelne Länder mit ihren eigenen Rechtssystemen. Welcher Rechtsraum ist für unseren konkreten Geschäftsvorfall relevant? Bzw. welche Rechtsräume sind relevant? Die direkt betroffenen? Also wenn wir einen deutsch-ägyptischen Geschäftsfall anschauen: deutsches Recht und ägyptisches Recht? Was ist mit der Transitstrecke? Oh Mist, US-Recht beansprucht für sich weltweite Gültigkeit, verpflichtet „US-Persons“ und das sind nicht nur US-Staatsbürger, sondern beispielsweise auch Greencard-Inhaber oder Geschäftsreisende, die sich in USA aufhalten, und nimmt sie in die Pflicht. Wenn auch noch US-Technologie davon betroffen ist, weil die verwendeten Schrauben auf einer US-Drehbank gefertigt wurden, dann mal viel Spaß. Und wir haben noch nicht geschaut, ob nicht auch das nordkoreanisches Recht Anforderungen an unseren konkreten Vorgang richtet. Dessen Relevanz haben wir womöglich gedanklich ausgeblendet. Ein Abwägungsprozess – nicht Compliance.

Einen weiteren Abwägungsprozess liefert uns die Verhältnismässigkeit der Mittel. Denken wir an Informationssicherheit und fehlerfreie Programmierung. Mit absolutem Anspruch vollkommen unsinnige Zielsetzungen, weil wer 100%-ige IT-Sicherheit verspricht oder fehlerfreie Programme von der Materie keine Ahnung hat oder ein Blender ist. Ob wir wollen oder nicht kommen wir um Abwägung und einen Risiko-basierten Ansatz nicht herum. Wir müssen ein sinnvolles Sicherheitsniveau definieren und verfolgen. Und auch hier wieder bewusst abwägen.

Die Abwägung unterhöhlt elementare Grundprinzipien beispielsweise im Datenschutz, wo sich selbst staatliche Hüter der Domäne, die sonst alle Betroffenen mit aller Härte in Ihre Schranken verweisen, z.B. gegenüber Lobbyisten der Versicherungswirtschaft in die Knie gehen, selbst wenn es um die Auswertung besonderer personenbezogenen Daten geht.

Compliance ist zweifellos ein weites Feld. Ein schwammiges noch dazu.

Wenn wir mit Compliance-Anforderungen konfrontiert sind, ist die Definition geeigneter Prozesse unsere einzige Chance Transparenz in die Abläufe und Abwägungen  zu bringen und Verantwortung wahr zu nehmen.

Ein echtes Dilemma.

Das Compliance-Dilemma.

 

Beitrag #701 auf schlossBlog

#663 Der Compliance Reflex

Die Abwehrreflexe (deutscher) Großunternehmen sind absehbar und (leider) überschaubar. Da hat man – wie aktuell VW – einen Skandal an der Backe und dann beruft man ein juristisches Vorstandsmandat und dann baut man eine Compliance-Organisation auf und entwickelt dabei eine Misstrauenskultur gepaart mit Absicherungsdenken statt Verantwortungsbewusstsein. Getrieben von einer gigantomanischen Bürokratie (die sich so bei VW noch gar nicht abzeichnet, die aber so sicher kommen wird, wie das Amen in der Kirche).
Die Ersten haben es schon kapiert und die Kommunen der VW-Metropolen wie Wolfsburg und Ingolstadt haben Haushaltssperren angekündigt. Panik unter den bisherigen Speichelleckern. Die Fußball-Bundesliga, in der fast jeder Verein sich zumindest lokal vom Konzern oder dessen Vertriebspartnern sponsern lässt, wird sich noch umschauen.
Man könnte ja auch aus einem Scheitern lernen. Und vielleicht rettet die neue Sparpolitik den VW-Konzern von der asiatischen Gigantomanie, die früher oder später eh geplatzt wäre. Wünschen würde man sich aber eine Vertrauenskultur. Eine Abkehr von schwachsinnigen formalen Zielsystemen. Der Welt größte Automobilkonzern zu sein ist kein erstrebenswertes Ziel, sondern als Ziel lediglich Ausdruck von Größenwahnsinn (übrigens nicht nur der eines Vorstandsvorsitzenden, sondern nicht minder der des Aufsichtsrats oder der, der Aktionäre). Nachhaltig der Profitabelste in der Branche zu sein, das wäre akzeptabel, aber zwischen Alpha-Tieren gibt es in Alpha-Organisationen (der Begriff stammt von Niels Pfläging) andere Prioritäten. Und jetzt müssen einige den Preis dafür bezahlen.
Und an vorderster Front beteiligt ist der deutsche Steuerzahler. Ganz abgesehen von indirekten Begünstigungen, hat der Staat als Unternehmer (VW-Gesetz & Niedersachseen als Aktionär) mal wieder eine Total-Kapitulation hingelegt. Na denn, prost!

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:

#506 Compliance vs. Risikomanagement II

Um die Gegenüberstellung von Compliance und Risikomanagement aus dem letzten Post noch einmal aufzugreifen:

Vielleicht hat Risikomanagement das Potential blindes Compliance-Denken abzulösen.

Die Crux der Compliance ist, dass sie eigentlich mit dem Zero Tolerance-Gedanken verbunden ist, d.h. entweder man ist rechtskonform oder nicht. In der Praxis stößt dies aber an Grenzen. Eine Grenze bildet die technische Machbarkeit, eine weitere die zeitliche Dimension. Eine Kosten-Nutzen-Überlegung lässt der Compliance-Gedanke eben aufgrund der Zero-Tolerance nicht zu. Ganz im Gegensatz zum Risikomanagement. Hier sind Machbarkeit und Kosten-Nutzen-Denken legitime Bestandteile. Dies soll aber nicht als Aufforderung zu einem skrupelosen Kosten-Nutzen-Denken missverstanden werden (z.B. durch Einkalkulation eventueller Strafen oder sonstiger Konsequenzen). Aber die Rückkehr zu gesundem Menschenverstand (oder wie der Österreicher sagt: Hausverstand) und eine Abkehr von einer sturen Compliance-Umsetzung um jeden Preis (die vermutlich eh nur zum Scheitern verurteilt ist)  hat durchaus Charme.

#505 Compliance vs. Risikomanagement

In den aktuellen RiskNews findet sich ein lesenswerter Beitrag „Verhindert Compliance ein effektives Risk Management?„.

Die angeführte Studie wird mit einem bemerkenswerten Hinweis zitiert:

Laut der Umfrage verhindert in vielen Fällen eine zu starke Konzentration auf Compliance – statt auf grundlegende Abläufe und Prozesse (42 Prozent) – einen effektiven ERM-Prozess.

(ERM = Enterprise Risk Management)

Letztlich bezieht sich diese Aussage v.a. auf formale Complianceprozesse gegenüber einem unternehmerischen Risikomanagement, das sich aktiv mit Chancen und Risiken auseinandersetzt. Kriegsentscheidend ist eine entsprechende Kultur.

Im Umkehrschluss lässt sich aber auch feststellen, dass rein formale Risikomanagement-Prozesse der gleiche Murks sind. Und leider ist heute auch im Risikomanagement häufig lediglich eine formale Ausprägung zu finden.

#492 Grenzen der Cloud

Ein paar aktuelle Meldungen zeigen uns mal wieder die Grenzen der Cloud:

Facebook setzt sich mit dem Thema Datenschutz auseinander und verspricht schizophrenerweise eine schleswig-holstein-spezifische Lösung (heise online). In seiner Euphorie über das vermeintlich erreichte vergisst der schleswig-holsteinische Datenschützer Thilo Weichert doch glatt, dass Facebook, auch wenn es Daten in Schleswig-Holstein speichern sollte, nach wie vor ein amerikanisches Unternehmen ist, dass dem US Patriot Act unterliegt und daher dem US Big Brother immer und jederzeit in all seine Datenbestände Einblick gewähren muss, das weiss Thilo Weichert eigentlich auch (golem), hat es aber in seinem Facebook Statement wohl vergessen.

Last but not least stösst man anscheinend auch in den USA an die Grenzen der Cloud, denn die Stadt Los Angeles beklagt massive Sicherheitsprobleme in der von ihr eingekauften Google Cloud (wieder: heise).

#470 Gelesen: Compliance Intelligence

Compliance Intelligence: Praxisorientierte Lösungsansätze für die risikobewusste Unternehmensführung (Amazon Affilliate Link)
Michael H. Brauer, Klaus-Dieter Steffen, Sven Biermann und Andreas H. Schuler
Schäffer-Poeschel , Stuttgart 2009
ISBN: 978-3791028774

Compliance Intelligence ist keine allgemeine Einführung in das Thema Compliance, sondern eine spezielle Herangehensweise an das Thema (insbesondere auch an die IT-Compliance) unter dem Einsatz von Werkzeugen der Business Intelligence. Es geht also darum, wie mit dem Einsatz von IT Compliance sichergestellt werden kann.


Den ganzen Beitrag lesen…



bernhardschloss.de