#423 Compliance Management Architecture
Kosten und Aufwand für Compliance Aktivitäten wachsen und wachsen. Kein Wunder also, wenn die Kosten der Compliance immer mehr in den Vordergrund rücken.
Hamid Nouri hat sich bereits in einem Beitrag aus dem Jahr 2005 mit dem Thema auseinander gesetzt. Er fragt nach den Auswirkungen der Compliance-Anforderungen auf die IT und weist darauf hin (auch wenn Compliance eine fachliche und keine IT-spezifische Anforderung ist), dass die IT durch Aktivitäten wie Business Continuity Management, IT Service Continuity und Project Portfolio Management Initiativen bereits mit ähnlichen Anforderungen konfrontiert ist.
Nouri liefert möglicherweise den Schlüssel für erfolgreiche Compliance-Aktivitäten und identifiziert die Voraussetzung hierfür:
„… if they are combined or coordinated with IT process and service transformation initiaitves using industry best practrices.“ (p. 8 )
Folgerichtig plädiert er für die Anwendung einer Compliance Management Architecture – also den Einsatz von ITIL & Co. Eine zentrale Rolle fällt dem ITIL Change und Release Management zu. Allerdings attestiert er hierzu treffend:
„Today, in many organizations, the process for handling change requests and change deployment for application systems and infrastructure are very much an inconsistent, manual and laborious set of processes. Most IT organizations are overwhelmed with the volume of changes thrown at them continuously. …“ (p. 15)
Zusammengefasst könnte man also sagen, dass sich Compliance Anforderungen sinnvollerweise im Rahmen der bestehenden Betriebsprozesse umsetzen lassen. Nouri argumentiert weiter, dass sich hier durch Automatisierung und den Einsatz entsprechender prozess-unterstützenden Tools Compliance-Kosten senken lassen.
Unabhängig von dieser letzten Hypothese, scheint mir der Ansatz dieser Compliance Management Architecture zielführend. Es bedarf keiner eigenen zusätzlichen Organisation, keines zusätzlichen Metaprozesses zur Umsetzung der Complianceanforderungen, wenn man diesen Weg konsequent zu Ende denkt. Allerdings muss die Service-erbringede Organisation dazu ertüchtigt werden, aber das muss sie eigenlich in jedem Ansatz. Service-Verantwortliche brauchen eine Awareness für Compliancethemen.
Weitere Beiträge zu Compliancethemen auf schlossBlog.
Tags: Change Management, Compliance, IT-Compliance, Release Management