Agiles Management und Compliance

Bremst Compliance die Agilität?

10.12.2015
Von 


Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Viele Unternehmen arbeiten an einer bimodalen IT mit zwei Geschwindigkeiten. Oftmals gilt die Erfüllung von Compliance-Anforderungen als Bremse auf dem Weg zu mehr Agilität. Dabei lassen sich Agilität und Compliance durchaus verbinden.
  • Der Konflikt zwischen Geschwindigkeit und Compliance besteht nur vordergründig
  • Gelingt es, Transparenz über Daten herzustellen, lassen sich Abweichungen schnell erkennen
  • Continous Control Monitoring wird die Regel

Zwei Trends, die auf den ersten Blick völlig konträre Anforderungen stellen, beschäftigen die IT. Auf der einen Seite fordert dynamisches High-Speed-Business agile Entwicklungsmethoden: Hoch motivierte und kreative Mitarbeiter sollen in einer Kultur des Vertrauens selbstverantwortlich Entscheidungen entlang der - möglichst auch disruptiven - digitalen Transformation treffen. Auf der anderen Seite werden den Organisationen durch immer neue Compliance-Anforderungen vermehrt Kontrollverpflichtungen auferlegt. Mit festgeschriebenen Prozessen und Richtlinien sollen Mitarbeiter möglichst verlässlich und nachvollziehbar agieren. Übergeordnete Kontrollstrukturen stellen dabei die Einhaltung sicher.

Lesen Sie auch:

Diese Antipoden in einer Organisation miteinander vereinigen zu wollen, scheint auf den ersten Blick ausgeschlossen. Vor allem in der IT ist dieser Konflikt präsent, denn in kaum einer anderen Abteilung treffen Entwicklungsarbeit und Compliance-Themen so intensiv aufeinander. Führt Compliance zwangsweise zu einer Hybrid-IT der zwei Geschwindigkeiten?

Ein genauerer Blick auf beide Anforderungen zeigt, dass es sich in Wirklichkeit nur vordergründig um einen Konflikt handelt. Letztendlich konvergieren die zugrundeliegenden Ziele sogar. Compliance bedeutet die Einhaltung von Regeln, Gesetzen und Vorgaben. Um ungewollte Abweichungen frühzeitig zu erkennen, sind Kontrollen unerlässlich. Damit ist Compliance im Kern ein Steuerungselement, wie es in jedem komplexeren System erforderlich ist. Steuerung wiederum erfordert Information, Kontext und Handlungsfähigkeit - zusammengenommen: "Wissen".

Wissen ist Macht

Dass Wissen die eigene Position verbessert, ist keine Erkenntnis der modernen Informationsgesellschaft. Francis Bacon formulierte diese Einsicht schon Ende des 16. Jahrhunderts. Um die Marktmacht eines Unternehmens zu mehren, erschien es logisch, den Abfluss von Informationen so gering wie möglich zu halten. Das „Need-to-Know Prinzip“ wurde zur Handlungsmaxime erhoben und in Unternehmensrichtlinien festgeschrieben. Interner Wettbewerb unter den Abteilungen und Mitarbeitern fördert diese Kultur der Abschottung. Nur in einem solchen Umfeld der organisierten Heimlichtuerei ist es notwendig die Mitarbeiter anzuweisen, Informationen für Kontrollen zur Verfügung zustellen.

Kooperation stärkt Innovation

Nun hat aber die moderne Arbeitswissenschaft längst festgestellt, dass Misstrauen und Kontrollstress nicht eben produktivitätssteigernd wirken. Vielmehr sind soziale Anerkennung, Wertschätzung, Verbundenheit mit anderen sowie das Gefühl, etwas Nützliches zu tun, die wichtigsten Faktoren für Engagement, Ausdauer und Loyalität. Für die junge Generation ist zudem die soziale Vernetzung sowie das Teilen von Informationen, Ideen und Gefühlen ein wesentlicher Teil ihrer Lebenskultur. Für sie spielt Abwechslung, ein angenehmes Arbeitsklima und ein hohes Maß an Selbstbestimmtheit eine entscheidende Rolle für die Arbeitgeberwahl. Aus dieser Generation kommen mittlerweile die meisten kreativen Experten für die Herausforderungen der digitalen Transformation.

Compliance, 16:9, slider
Compliance, 16:9, slider
Foto: Tashatuvango - shutterstock.com

Dass Kooperation ein besonders effektives Innovationsinstrument ist, zeigt sich auch durch die rasante Zunahme von erfolgreichen Open-Source-Initiativen, Open-Space- und Boot-Camp-Veranstaltungen oder Crowd-Initiativen. Auch agiles Management ist ein Ausdruck der Bemühungen, selbstverantwortliches und teamorientiertes Handeln in unternehmerisch nutzbare Ergebnisse zu transformieren. All diesen Phänomenen gemeinsam ist ein hohes Maß an Informations-Transparenz.

Schlüsselfaktor Transparenz

In einer solchen kooperativen Kultur, in der die meisten Informationen geteilt werden, besteht kein Anlass, diese bei einem Einzelnen abzufragen. Stehen die notwendigen Daten geordnet und auswertbar zur Verfügung, können sie nicht nur nach Bedarf abgefragt und ausgewertet werden. Sie können sogar bei Veränderungen automatisch mit Bedingungen abgeglichen werden und im Falle einer unerwünschten Abweichung geeignete Gegenmaßnahmen und Informationen auslösen. Womit bereits die wesentliche Eigenschaft des Kontrollsystems erfüllt ist.

Je offener Informationen zugänglich sind, desto eher können Probleme identifiziert und durch gemeinsames Handeln gelöst werden. Dies gilt für technische Probleme genauso wie für Abweichungen bei der Compliance.

Geschwindigkeit schlägt Geheimhaltung

Natürlich gibt es auch in modernen Unternehmen noch vertrauliche Informationen, die einem besonderen Schutz bedürfen. Doch Erfolgsfaktoren sind vor allem Reaktionsgeschwindigkeit und Innovationskraft - insbesondere wenn es um die Digitalisierung geht. Die Fähigkeit zur Geheimhaltung wird für den Geschäftserfolgeher eine untergeordnete Rolle spielen – im Gegensatz zur Fähigkeit, das eigene Geschäftsmodell immer wieder neu zu erfinden.

Manche Vertreter einer offenen Unternehmenskultur sind der Meinung, dass 95 Prozent aller Informationen mit allen Mitarbeitern geteilt werden könnten. Ob diese Zahl für den Großteil der Unternehmen repräsentativ ist, sei dahingestellt. Die Denkrichtung ändert sich aber definitiv: Statt „Need-to-know - was darf welcher Mitarbeiter wissen?“ lautet die Frage zukünftig „Need-to-save - Welche Daten haben einen so hohen Schutzbedarf, dass sie nur mit ausgewählten Mitarbeitern und Partnern geteilt werden dürfen?“

Lösungsansätze für agile Compliance

Damit ändert sich die grundsätzliche Denkrichtung für die Compliance. Um hier Transparenz zu erreichen, müssen passende „Sensoren“ und Kommunikationsstrecken in den Verfahren implementiert sein. Leider spielt Compliance in den Datendesigns der Anwendungen und Prozesse bislang nur selten eine Rolle. Statt dessen wird mit diesem Thema immer noch eine Richtlinienflut assoziiert und kein modernes „Compliance-Grunddaten- und Prozessmanagement“.

Die Compliance-Funktion wird sich im Zuge der digitalen Transformation anpassen müssen. Sie wird mutieren zum Scout der Anforderungen, zum Moderator und Berater der Umsetzung sowie zum Analysten der Effektivität. Statt einmal im Jahr zu auditieren, aggregieren Dashboards permanent die Risiko- und Compliance-Situation der Organisation. „Continous Control Monitoring“ wird nicht mehr die Ausnahme, sondern die Regel in Unternehmen werden.

Agilität bietet die Chance, diese Lücke schnell und effektiv zu schließen. Compliance-Anforderungen schnell und effizient umzusetzen wird begünstigt durch eine offene Kultur des Informierens und Diskutierens. Dabei sind IT, Compliance, die verschiedenen Fachabteilungen und gegebenenfalls hinzugezogenen IT-Compliance- und Agilitätsexperten eingebunden, die durch moderne Kooperationstools unterstützt werden.

Die Herausforderung besteht allerdings in dem grundlegenden kulturellen Wandel, der vom Top-Management gewollt und gelebt werden muss, damit er in Zielvereinbarungen, Bonussystemen und nicht zuletzt im Führungs- und Umgangsstil ankommt. Dieser Change ist aber ohnehin erforderlich, wenn man die Digitale Transformation erfolgreich bestehen möchte.