projektmanagement, traininig, medien
Im aktuellen RiskNet -Newsletter findet sich eine Rezension von Gregor Thüsing, Arbeitnehmerdatenschutz und Compliance. Auch wenn es lediglich exemplarisch praxisrelevante Schwerpunkte verdeutlicht, empfiehlt Frank Romeike das Buch als praxisnahes Nachschlagewerk.
Mancherorts ist das Schlagwort Compliance mittlerweile ein Freibrief für alles. Dass dem nicht wirklich so ist, zeigt uns dieses Buch.
In amerikanischen Universitäten scheint das Thema Technologieexport angekommen zu sein, zumindest für den Eigenbedarf der Unis finden sich zahlreiche Webseiten:
Auch die ersten Berater und Juristen haben die Witterung aufgenommen, insbesondere für das Cloud Computing:
Hier war ja schon desöfteren von Compliance-Themen in Cloud Computing, IT-Offshoring und -Outsouring die Rede. In der Diskussion mit einem Beraterkollegen verwies dieser darauf, dass es in den letzten 25 jahren immer wieder ähnliche juristische Diskussionen gegeben hat, z.B. beim Thema digitale Archivierung. Nie sind die von den Juristen aufgezeigten Katastrophenszenarien eingetreten. Letztlich ist die Rechtsprechung immer der technischen Wirklichkeit gefolgt.
Ex post würde ich ihm Recht geben, aber Rechtssicherheit sieht anders aus! Wer sich an den technischen Möglichkeiten orientiert und bewusst Compliance-Anforderungen übergeht oder eigenmächtig anpasst, macht dies auf eigenes Risiko.
Kosten und Aufwand für Compliance Aktivitäten wachsen und wachsen. Kein Wunder also, wenn die Kosten der Compliance immer mehr in den Vordergrund rücken.
Hamid Nouri hat sich bereits in einem Beitrag aus dem Jahr 2005 mit dem Thema auseinander gesetzt. Er fragt nach den Auswirkungen der Compliance-Anforderungen auf die IT und weist darauf hin (auch wenn Compliance eine fachliche und keine IT-spezifische Anforderung ist), dass die IT durch Aktivitäten wie Business Continuity Management, IT Service Continuity und Project Portfolio Management Initiativen bereits mit ähnlichen Anforderungen konfrontiert ist.
Nouri liefert möglicherweise den Schlüssel für erfolgreiche Compliance-Aktivitäten und identifiziert die Voraussetzung hierfür:
„… if they are combined or coordinated with IT process and service transformation initiaitves using industry best practrices.“ (p. 8 )
Folgerichtig plädiert er für die Anwendung einer Compliance Management Architecture – also den Einsatz von ITIL & Co. Eine zentrale Rolle fällt dem ITIL Change und Release Management zu. Allerdings attestiert er hierzu treffend:
„Today, in many organizations, the process for handling change requests and change deployment for application systems and infrastructure are very much an inconsistent, manual and laborious set of processes. Most IT organizations are overwhelmed with the volume of changes thrown at them continuously. …“ (p. 15)
Zusammengefasst könnte man also sagen, dass sich Compliance Anforderungen sinnvollerweise im Rahmen der bestehenden Betriebsprozesse umsetzen lassen. Nouri argumentiert weiter, dass sich hier durch Automatisierung und den Einsatz entsprechender prozess-unterstützenden Tools Compliance-Kosten senken lassen.
Unabhängig von dieser letzten Hypothese, scheint mir der Ansatz dieser Compliance Management Architecture zielführend. Es bedarf keiner eigenen zusätzlichen Organisation, keines zusätzlichen Metaprozesses zur Umsetzung der Complianceanforderungen, wenn man diesen Weg konsequent zu Ende denkt. Allerdings muss die Service-erbringede Organisation dazu ertüchtigt werden, aber das muss sie eigenlich in jedem Ansatz. Service-Verantwortliche brauchen eine Awareness für Compliancethemen.
Weitere Beiträge zu Compliancethemen auf schlossBlog.
Die „…for Dummies“-Buchreihe aus dem Wiley Verlag ist bisweilen pointiert und informativ. Die Qualität der einzelnen Beiträge ist mitunter etwas schwankend. Mit dem einen Band kann man mehr anfangen, mit dem anderen weniger. Von Excel-VBA war ich sehr angetan von Microsoft Access überhaupt nicht.
Neben der „normalen“ Buchreihe gibt es aber anscheinend auch einen Ableger für Corporate Publishing. Und man höre und staune: Qualiys (ein Anbieter von Security Lösungen) bietet einen Band „IT-Policy Compliance for Dummies“ als kostenloses ebook an.
Ein informativer Einstieg ins Thema mit knapp 70 Seiten in Layout und Aufbereitung der Dummy-Reihe. Natürlich beziehen sich die Fallbeispiele auf Qualys-Projekte und auch die eigenen Produktnamen werden platziert – das Ganze aber angenehm zurückhaltend, so dass trotz (legitimer) Eigenwerbung der Informationscharakter im Vordergrund steht.Ebenfalls von Qualis gibt es noch ein ebook „Vulnerability Management for Dummies„.
Und bereits im regulären Verlagsprogramm von Wiley finden sich die Titel wie:
– Sarbanes-Oxley For Dummies, 2nd Edition
– SAP GRC For Dummies
Obwohl das gar nicht geplant war, entwickelt sich dieses Thema so langsam zu einer kleinen Serie auf schlossBlog. Über die juristischen Fallstricke war ja hier und hier schon die Rede.
Auffällig ist, wer sich mit dem Thema beschäftigt: Anscheinend nahezu ausschließlich die Anbieter von Outsourcing und Offshoring-Leistungen.
Im Umfeld der Forschungsarbeiten zum Thema etwa bei Prof. Amberg in Erlangen oder bei Prof. Strahringer von der TU Dresden finden sich Berater von Accenture, IBM oder Bain – aber wo sind die Vertreter der Kunden? Ist bei denen das Thema überhaupt schon angekommen? Bislang wohl nur in den wenigsten Fällen.
Ein grundlegendes Missverständnis liegt auch darin Outsourcing und Offshoring per se als erstrebenswert zu erachten. Eine Prüfung der Sourcing-Möglichkeiten muss selbstverständlich alle Optionen einschließen, aber eine Make-or-Buy-Entscheidung hat auch strategische Auswirkungen. Außerdem entstehen möglicherweise Einschränkungen und Abhängigkeiten, die ursprünglich gar nicht gewollt sind. Eine bestehende Applikation ist für ein neues Geschäftsfeld nicht nutzbar, weil die Daten im „falschen Land“ gehalten werden oder unter der „falschen Datenschutzrichtlinie“. Da wird dann die IT zum limitierenden Faktor für das Business.
Im aktuellen RiskNET Newsletter wird der Status Quo der Compliance-Aktvitäten deutscher Unternehmen beschrieben.
Anscheinend herrscht zumeist noch Zurückhaltung, auch wenn es wohl unfreiwillige Vorreiter, wie die Siemens AG gibt, aber das Compliance-Schiff wird immer mehr (zumindest große Unternehmen) einholen, man denke an MAN oder tagesaktuell: Daimler… (Die Beispiele stammen jetzt nicht aus dem Artikel sondern aus der Tagespresse.)
Viele scheuen den Aufwand und fürchten die damit verbundene Bürokratie. Wenn man sich einzelne Beispiele anschaut, kann man diese Befürchtungen durchaus nachvollziehen. Um Compliance erfolgreich umzusetzen, kommt es aber nicht unbedingt auf große, bürokratische Programme an, sondern auf ein anderes Schlüsselwort, das ebenfalls im Artikel fällt: die Unternehmenskultur.
