Prozessmanagement stellt eine wichtige Grundlage für eine gesetzestreue und verantwortungsvolle Unternehmensführung dar. Mit der Prozessdokumentation werden unternehmensinterne Regeln geschaffen, die neben externen Gesetzen und Verordnungen Basis für Governance, Risk und Compliance (GRC) sind. Wie Prozesse konkret die Sicherheit in Unternehmen gewährleisten und welche Rolle die menschlichen Bedürfnisse nach körperlicher und seelischer Sicherheit spielen, lesen Sie in diesem Artikel.
Da bin ich schon ins Grübeln gekommen, als ich im Frühjahr dieses Jahres las, dass ein Geschäftsführer zu einer hohen sechsstelligen Summe verurteilt wurde, weil er seine Sorgfaltspflichten verletzt hatte. Und beim weiteren Einsteigen in die Urteilsbegründung des OLG Nürnberg wurde mir schnell klar, dass das unmittelbar mit meinem Leib-und Magenthema Prozessmanagement zu tun hat. Aber der Reihe nach …
Sicherheit ist ein wesentlicher Nutzen von Prozessmanagement
Fragt man nach dem Nutzen von Prozessmanagement, werden häufig folgende 5 Gründe genannt:
- Neue Prozesse ermöglichen Geschäftsmodell-Innovationen
- Mit Prozessoptimierung werden bestehende Prozesse effizienter
- Prozessmodellierung ist die Basis für Prozessautomatisierung
- Prozesscontrolling macht Abläufe und Prozesskennzahlen steuerbar
- Prozessdokumentation ist grundlegend für Governance, Risk & Compliance.
Das Narrativ, mit innovativen Geschäftsmodellen oder besseren Prozessen Kund:innen zu begeistern und mehr Umsatz zu erzielen, erzählt sich leicht. Auch wenn aus Sicht der Mitarbeitenden Veränderungen nicht per se willkommen sind, so überzeugen die Vorteile neuer, optimierter oder automatisierter Prozesse Kund:innen und Unternehmen gleichermaßen. Verschwendungen fallen weg, Durchlaufzeiten verkürzen sich, Abläufe funktionieren einfacher, Touchpoints werden bequemer, etc. Mit optimal gestalteten und gesteuerten Prozessen ist man wettbewerbsfähig und gewinnt neue Kund:innen. Insgesamt sind diese Gründe für Prozessmanagement also positiv konnotiert.
Das klingt bei Prozesscontrolling sowie Governance, Risk & Compliance schon anders. Transparenz und Nachvollziehbarkeit oder Argumente wie das Vermeiden von Risiken, Gefahren, Strafen und Betrug werden oft mit negativen Gefühlen verbunden. Stichprobenkontrollen, Überwachungssysteme oder arbeitsrechtliche Maßnahmen zeugen von einem Menschenbild, das eher durch Misstrauen geprägt wird. Wer also mit dem „Geschäft mit der Angst“ den Nutzen von Prozessmanagement verargumentiert, verspielt von Beginn an positive Assoziationen mit diesem Managementansatz.
Aber das muss nicht sein. Denn Sicherheit ist schließlich ein tiefliegendes, menschliches Bedürfnis. In der als Bedürfnispyramide bekannten maslowschen Bedürfnishierarchie folgt das Sicherheitsbedürfnis den psycholgogischen Bedürfnissen auf zweiter Stufe. Das ist bei der körperlichen Sicherheit offensichtlich. Beim Thema Gesundheit und spätestens, wenn es um Leben und Tod geht, sind wir alle dankbar für Sicherheitssysteme im Auto, Security Checks an Flughäfen oder Lebensmittelkontrollen. Folglich ist es uns auch wichtig, wenn es um das Überleben von Unternehmen geht. Cyberangriffe, Diebstahl von Patenten oder Veruntreuung von Vermögenswerten können hier existenzielle Risiken für Unternehmen sein.
Aber auch die seelische Sicherheit ist uns wichtig. Der Mensch bevorzugt Bekanntes gegenüber Unbekanntem und sehnt sich nach stabilen Umfeldern. Ein Rechtsstaat mit verlässlicher Gewaltenteilung bedient ebenso das Sicherheitsbedürfnis wie Transparenz, Informationen, Routinen oder Standards im Miteinander. Folglich begründen sich alle stabilisierenden Maßnahmen im öffentlichen, privaten und beruflichen Kontext letztlich auf das Verlangen der Menschen nach Sicherheit.
Wie können Prozesse konkret für Sicherheit in Unternehmen sorgen?
In unserer arbeitsteiligen Welt entstehen unzählige Schnittstellen und Abhängigkeiten. Um die Einzelaktivitäten auf ein übergeordnetes Gesamtziel hin abzustimmen, gibt es verschiedene direkte Koordinationsmaßnahmen wie persönliche Weisung, Selbstabstimmung oder Standardisierung. Werden bestimmte Aufgabenstellungen immer wieder gleich oder ähnlich arbeitsteilig erledigt, empfiehlt sich das Vorgehen mit Regeln oder Programmen zu routinisieren. Und hier kommt die Ablauforganisation ins Spiel. Denn die Standardisierung von Arbeitsprozessen ist in der Arbeitswelt das wohl am meisten eingesetzte Koordinationsinstrument. Mögliche Abstimmungsschwierigkeiten sowie der Umgang damit werden im Vorfeld durchdacht und durch schriftlich fixierte Prozesse verbindlich geregelt.
Interessant wird es bei der Frage wie sichergestellt wird, ob und wie Regeln und Programme eingehalten werden. Vermeintlich einfach ist es, wenn Prozesse mit Hilfe von Maschinen oder Softwareprogrammen standardisiert werden. Seien es Fließbänder, die durch Takt und in Reihenfolge angeordnete Arbeitsstation die Produktion koordinieren oder Process Engines, die informationsverarbeitende End-to-end-Prozesse automatisieren: Bei möglichen Fehlern identifizieren die Prozessingenieure und Anwendungsentwickler die Probleme und konstruieren die Systeme entsprechend um oder neu.
Schwieriger wird es immer dann, wenn dem Menschen über Prozessregeln ein bestimmtes Arbeitsverhalten verbindlich vorgeschrieben wird. Da der Mensch – Gott sei Dank – kein Roboter ist, reichen die Gründe für Prozessabweichungen bei Human Workflows weit über mechanistisch analysierbare Fehler im Programm hinaus. So kann zum Beispiel das menschliche Bedürfnis eigenverantwortlich zu handeln und nicht fremdbestimmt zu werden ein bewusstes oder unbewusstes Unterlaufen formaler Regeln herbeiführen. Ebenso können psychische Ursachen wie Angst, mangelnde Konzentration, unzureichendes Situationsbewusstsein, Leichtsinn, Stress etc. oder körperliche Gründe wie Übermüdung, Erschöpfung oder Krankheit zu Prozessfehlern führen. Und schließlich gibt es niedere Motive wie Habgier oder andere niedrige Beweggründe, die eine vorsätzliche Missachtung von Prozessstandards verursachen.
Wie gewährleistet man als Unternehmen Sicherheit?
Um ein sicheres Arbeitsumfeld in Unternehmen herzustellen, gibt es grundsätzlich zwei Ansatzpunkte:
1. Compliance und Corporate Governance
Vereinfacht kann man sagen, dass es beim Compliance um die Regeltreue von Unternehmen und ihren Mitarbeitern geht. Bei den einzuhaltenden Regeln handelt es sich zum einen um externe Gesetze und Verordnungen, die das Zusammenleben und gemeinsame Wirtschaften betreffen. In Verordnungen wie Arbeitsschutz oder Umweltrecht ist der körperliche Sicherheitsaspekt unmittelbarer Anlass der regulatorischen Anforderungen. Andere legislative Vorgaben regeln die seelische Sicherheit zum Beispiel durch den Umgang mit Diebstahl im Strafrecht, den Kündigungsschutz im Arbeitsrecht, den Datenschutz (dsgvo) oder Tax Compliance im Steuerrecht. Zusätzlich gibt es zahlreiche branchenspezifische Rechtsvorschriften und BGH-Urteile wie beispielsweise Good Manufacturing Practice (GMP) für Hygieneanforderungen in Produktionsprozessen oder Mindestkapitalanforderungen (Basel III) für Finanzinstitute.
Zum anderen gibt es neben den gesetzlichen Vorschriften zahlreiche unternehmensinterne Regeln. Dazu zählen in erster Linie die Anweisungen zur Aufbau- und Ablauforganisation in der „schriftlich fixierten Ordnung (sfO)“. Aber auch Regelungen zu den Arbeitszeiten, Abwesenheiten, Urlaub oder Gleichbehandlung fallen unter die Compliance-relevante Vorschriften. Mittlerweile werden auch freiwillige Bekenntnisse zu eigenen Wertekatalogen, die zum Beispiel ethische Regeln für sein Verhalten nach innen und außen umfassen, als Compliance-Richtlinien verstanden. Besonders relevant ist hier beispielsweise für Aktiengesellschaften das Bekenntnis zu der Deutschen Corporate Governance Kodex (DCGK). Dieser beinhaltet neben den wesentlichen gesetzlichen Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften auch Empfehlungen und Anregungen verantwortungsvoller Unternehmensführung.
Durch das sich erweiternde Verständnis von Compliance wird der Unterschied zu Corporate Governance zunehmend unscharf. Häufig werden die Begriffe sogar synonym verwandt.
Am ehesten kann man den Unterschied an der Zielsetzung von eingeführten Maßnahmen des Unternehmens festmachen. So liegt der Zweck von Firmen, die ein Compliance Management System einführen vor allem darin, das Unternehmen sowie deren Organe und Mitarbeiter:innen vor möglicher Strafverfolgung zu schützen. Die Zielsetzung gesetzestreu zu handeln ist also nach innen gerichtet.
Bekennen sich Unternehmen beispielsweise öffentlich zu einem Corporate Governance Verhaltenskodex, beabsichtigen sie damit vor allem im Außenverhältnis das Vertrauen von Investoren und Stakeholdern zu gewinnen. So können sie glaubhaft gegenüber Kund:innen, Geschäftspartnern, der Gesellschaft und den eigenen Aktionären darstellen, dass sie über eine ordentliche und gute Unternehmensführung verfügen. Häufig wird damit auch ihre gesellschaftliche Verantwortung im Sinne eines nachhaltigen Wirtschaftens, auch „Corporate Social Responsibility (CSR)“ genannt, verknüpft.
2. Risikomanagement
Beim Risikomanagement ist der Präventivcharakter maßgeblich. Damit Gefährdungen erst gar nicht eintreten, werden Risikobereiche im Vorfeld identifiziert und entsprechende Kontrollen vorgesehen. Risikomanagement ist ein wichtiger Baustein jedes Qualitätsmanagementsystems. Mit der internationalen ISO Norm “ISO 31000 für Risikomanagement” liegt seit 2009 ein umfassendes Regelwerk vor, wie Unternehmen Risiken aktiv und präventiv kontrollieren. 2018 wurde die Fassung aktualisiert. Auch andere ISO-Normen wie beispielsweise die ISO 27001 für Informationssicherheit beinhalten Risikomanagement.
Risikobereiche reichen von rechtlichen Risiken über allgemeine Unternehmensrisiken bis hin zu branchenspezifischen Risiken wie beispielsweise Kreditrisiken in der Finanzdienstleistung (MaRisk). Im Prozessmanagement sind vor allem die sogenannten operationellen Risiken relevant. Sie umfassen alle technischen, menschlichen und organisatorisch begründeten Soll-Ist-Abweichungen in Prozessen. Zu den von Prozessmitarbeitern zu verantwortenden Risiken zählen ebenso Fehler aus Unachtsamkeit oder Nicht-Wissen wie absichtliche Betrugsfälle, um sich persönlich zu bereichern. Bei IT-Systemen gibt es Gefahren wie fehlerhafte Programmroutinen oder Systemausfälle. Ein unklares Kompetenzsystem, ein mangelndes 4-Augen-Prinzip oder fehlende Informationen im Prozess sind typische organisatorische Risiken.
Prozessmanagement stellt eine wichtige Grundlage für eine gesetzestreue und verantwortungsvolle Unternehmensführung dar. Denn die Sorgfaltspflicht eines Geschäftsführers bedeutet, eine Organisationsstruktur zu schaffen, die die rechtmäßige Unternehmensführung sicherstellt.
Guido Fischermanns
Prozessmanagement und GRC (Governance – Risk – Compliance)
Und jetzt komme ich wieder zur Ausgangsfrage zurück, warum es für Organe von Unternehmen wie zum Beispiel der verurteilte Geschäftsführer gefährlich ist, Prozesse nicht im Griff zu haben. Ohne jetzt auf weitere Details der verschiedenen Maßnahmen zur Einführung eines Compliance-Managementsystems, Risikomanagements oder Corporate Governanace Kodex einzugehen wird deutlich, dass Prozessmanagement eine wichtige Grundlage für eine gesetzestreue und verantwortungsvolle Unternehmensführung darstellt. Denn die Sorgfaltspflicht eines Geschäftsführers bedeutet, eine Organisationsstruktur zu schaffen, die die rechtmäßige Unternehmensführung sicherstellt. Dabei reicht es aber nicht aus, “nur“ für eine ordnungsgemäße Aufbau- und Ablauforganisation zu sorgen. Die Sorgfaltspflicht wurde vom OLG Nürnberg so weit interpretiert, das zur Unternehmensorganisationspflicht auch die Einrichtung eines Überwachungssystems gehört. Es müssen also Vorkehrungen getroffen werden, die verhindern, dass Straftaten durch die Unternehmen oder deren Organe begangen werden.
Somit ist ein unmittelbarer Nutzen von dokumentierten Prozessen und deren Überwachungsroutinen strafrechtliche Konsequenzen für Unternehmen und deren Organe zu vermeiden. Verletzt ein Unternehmen die Organisationspflicht, liegt ein Organisationsverschulden vor und es drohen Bußgelder, Gewinnabschöpfung oder Freiheitsentzug. Mit einem Compliance-Management-System schützen sich Unternehmen besser vor einer möglichen Strafverfolgung. Auch gibt es mittelbare Vorteile. Denn regelkonforme Prozesse haben die positive Wirkung, die Reputation von Unternehmen zu erhöhen. Bekennen sich Unternehmen beispielsweise mit einem Compliance-Management-System oder Corporate Governance Kodex dazu, nicht nur gesetzestreu zu handeln, sondern sich auch an branchenübliche Werte oder ethische Moralvorstellungen zu halten, stärkt dass das Vertrauen der Kunden in die Firmen.
Flexicurity – Balance zwischen Stabilität und Flexibilität
Eins liegt mir zum Schluss noch am Herzen: Trotz der unzweifelhaft wichtigen Bedeutung von Sicherheitsmaßnahmen darf das Augenmaß nie verloren gehen. Denn die damit erzielte Stabilität steht auch immer im Gegensatz zur notwendigen Flexibilität. Das sich beides nicht ausschließen muss, zeigen Zukunftsthemen wie Flexicurity. Diese Wortschöpfung ergibt sich aus den englischen Begriffen Flexibility und Security. Das ursprünglich für den Arbeitsmarkt entwickelte Konzept, Flexibilitätsanforderungen und Sicherheitsbedürfnissen angemessen zu kombinieren, findet zunehmend Einzug bei Konzepten zur Arbeitsorganisation. Und hier bin ich wieder bei meiner „Differenzierungs-Empfehlung“, je nach Prozesstyp Art und Grad der Prozessmodellierung, Prozessoptimierung und KVP Kontinuierlicher Verbesserungsprozess zu wählen.
Thema Sicherheit im Unternehmen
Aufbau eines einheitlichen Risikoverständnisses
Compliance-Management, aber wirksam!
Mit Sicherheit aus der Krise – Resilienz durch Selbstwirksamkeit
Security Awareness – Der menschliche Faktor zählt
Informationssicherheit: Technik hui, Bewusstsein pfui?
Zur Themenseite auf ibo.de Zukunftstrend Sicherheit
Sie möchten keinen Blogartikel zum Thema verpassen? Dann melden Sie sich hier zum ibo-Newsletter an!