Zwei Trends, die auf den ersten Blick völlig konträre Anforderungen stellen, beschäftigen die IT. Auf der einen Seite fordert dynamisches High-Speed-Business agile Entwicklungsmethoden: Hoch motivierte und kreative Mitarbeiter sollen in einer Kultur des Vertrauens selbstverantwortlich Entscheidungen entlang der - möglichst auch disruptiven - digitalen Transformation treffen. Auf der anderen Seite werden den Organisationen durch immer neue Compliance-Anforderungen vermehrt Kontrollverpflichtungen auferlegt. Mit festgeschriebenen Prozessen und Richtlinien sollen Mitarbeiter möglichst verlässlich und nachvollziehbar agieren. Übergeordnete Kontrollstrukturen stellen dabei die Einhaltung sicher.
Lesen Sie auch:
Diese Antipoden in einer Organisation miteinander vereinigen zu wollen, scheint auf den ersten Blick ausgeschlossen. Vor allem in der IT ist dieser Konflikt präsent, denn in kaum einer anderen Abteilung treffen Entwicklungsarbeit und Compliance-Themen so intensiv aufeinander. Führt Compliance zwangsweise zu einer Hybrid-IT der zwei Geschwindigkeiten?
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz
Ein genauerer Blick auf beide Anforderungen zeigt, dass es sich in Wirklichkeit nur vordergründig um einen Konflikt handelt. Letztendlich konvergieren die zugrundeliegenden Ziele sogar. Compliance bedeutet die Einhaltung von Regeln, Gesetzen und Vorgaben. Um ungewollte Abweichungen frühzeitig zu erkennen, sind Kontrollen unerlässlich. Damit ist Compliance im Kern ein Steuerungselement, wie es in jedem komplexeren System erforderlich ist. Steuerung wiederum erfordert Information, Kontext und Handlungsfähigkeit - zusammengenommen: "Wissen".
Wissen ist Macht
Dass Wissen die eigene Position verbessert, ist keine Erkenntnis der modernen Informationsgesellschaft. Francis Bacon formulierte diese Einsicht schon Ende des 16. Jahrhunderts. Um die Marktmacht eines Unternehmens zu mehren, erschien es logisch, den Abfluss von Informationen so gering wie möglich zu halten. Das „Need-to-Know Prinzip“ wurde zur Handlungsmaxime erhoben und in Unternehmensrichtlinien festgeschrieben. Interner Wettbewerb unter den Abteilungen und Mitarbeitern fördert diese Kultur der Abschottung. Nur in einem solchen Umfeld der organisierten Heimlichtuerei ist es notwendig die Mitarbeiter anzuweisen, Informationen für Kontrollen zur Verfügung zustellen.
Kooperation stärkt Innovation
Nun hat aber die moderne Arbeitswissenschaft längst festgestellt, dass Misstrauen und Kontrollstress nicht eben produktivitätssteigernd wirken. Vielmehr sind soziale Anerkennung, Wertschätzung, Verbundenheit mit anderen sowie das Gefühl, etwas Nützliches zu tun, die wichtigsten Faktoren für Engagement, Ausdauer und Loyalität. Für die junge Generation ist zudem die soziale Vernetzung sowie das Teilen von Informationen, Ideen und Gefühlen ein wesentlicher Teil ihrer Lebenskultur. Für sie spielt Abwechslung, ein angenehmes Arbeitsklima und ein hohes Maß an Selbstbestimmtheit eine entscheidende Rolle für die Arbeitgeberwahl. Aus dieser Generation kommen mittlerweile die meisten kreativen Experten für die Herausforderungen der digitalen Transformation.
Dass Kooperation ein besonders effektives Innovationsinstrument ist, zeigt sich auch durch die rasante Zunahme von erfolgreichen Open-Source-Initiativen, Open-Space- und Boot-Camp-Veranstaltungen oder Crowd-Initiativen. Auch agiles Management ist ein Ausdruck der Bemühungen, selbstverantwortliches und teamorientiertes Handeln in unternehmerisch nutzbare Ergebnisse zu transformieren. All diesen Phänomenen gemeinsam ist ein hohes Maß an Informations-Transparenz.
Schlüsselfaktor Transparenz
In einer solchen kooperativen Kultur, in der die meisten Informationen geteilt werden, besteht kein Anlass, diese bei einem Einzelnen abzufragen. Stehen die notwendigen Daten geordnet und auswertbar zur Verfügung, können sie nicht nur nach Bedarf abgefragt und ausgewertet werden. Sie können sogar bei Veränderungen automatisch mit Bedingungen abgeglichen werden und im Falle einer unerwünschten Abweichung geeignete Gegenmaßnahmen und Informationen auslösen. Womit bereits die wesentliche Eigenschaft des Kontrollsystems erfüllt ist.
Je offener Informationen zugänglich sind, desto eher können Probleme identifiziert und durch gemeinsames Handeln gelöst werden. Dies gilt für technische Probleme genauso wie für Abweichungen bei der Compliance.
Geschwindigkeit schlägt Geheimhaltung
Natürlich gibt es auch in modernen Unternehmen noch vertrauliche Informationen, die einem besonderen Schutz bedürfen. Doch Erfolgsfaktoren sind vor allem Reaktionsgeschwindigkeit und Innovationskraft - insbesondere wenn es um die Digitalisierung geht. Die Fähigkeit zur Geheimhaltung wird für den Geschäftserfolgeher eine untergeordnete Rolle spielen – im Gegensatz zur Fähigkeit, das eigene Geschäftsmodell immer wieder neu zu erfinden.
Manche Vertreter einer offenen Unternehmenskultur sind der Meinung, dass 95 Prozent aller Informationen mit allen Mitarbeitern geteilt werden könnten. Ob diese Zahl für den Großteil der Unternehmen repräsentativ ist, sei dahingestellt. Die Denkrichtung ändert sich aber definitiv: Statt „Need-to-know - was darf welcher Mitarbeiter wissen?“ lautet die Frage zukünftig „Need-to-save - Welche Daten haben einen so hohen Schutzbedarf, dass sie nur mit ausgewählten Mitarbeitern und Partnern geteilt werden dürfen?“
Lösungsansätze für agile Compliance
Damit ändert sich die grundsätzliche Denkrichtung für die Compliance. Um hier Transparenz zu erreichen, müssen passende „Sensoren“ und Kommunikationsstrecken in den Verfahren implementiert sein. Leider spielt Compliance in den Datendesigns der Anwendungen und Prozesse bislang nur selten eine Rolle. Statt dessen wird mit diesem Thema immer noch eine Richtlinienflut assoziiert und kein modernes „Compliance-Grunddaten- und Prozessmanagement“.
Die Compliance-Funktion wird sich im Zuge der digitalen Transformation anpassen müssen. Sie wird mutieren zum Scout der Anforderungen, zum Moderator und Berater der Umsetzung sowie zum Analysten der Effektivität. Statt einmal im Jahr zu auditieren, aggregieren Dashboards permanent die Risiko- und Compliance-Situation der Organisation. „Continous Control Monitoring“ wird nicht mehr die Ausnahme, sondern die Regel in Unternehmen werden.
Agilität bietet die Chance, diese Lücke schnell und effektiv zu schließen. Compliance-Anforderungen schnell und effizient umzusetzen wird begünstigt durch eine offene Kultur des Informierens und Diskutierens. Dabei sind IT, Compliance, die verschiedenen Fachabteilungen und gegebenenfalls hinzugezogenen IT-Compliance- und Agilitätsexperten eingebunden, die durch moderne Kooperationstools unterstützt werden.
Die Herausforderung besteht allerdings in dem grundlegenden kulturellen Wandel, der vom Top-Management gewollt und gelebt werden muss, damit er in Zielvereinbarungen, Bonussystemen und nicht zuletzt im Führungs- und Umgangsstil ankommt. Dieser Change ist aber ohnehin erforderlich, wenn man die Digitale Transformation erfolgreich bestehen möchte.