Die Kür meistern

Compliance im agilen Umfeld sicherstellen

19.05.2023
Von    und Jürgen Bobrink
Stefan Pechardscheck schreibt als Experte zum Thema IT Strategy & Governance. Er ist Partner bei der Management- und Technologieberatung BearingPoint und verantwortet dort das Thema Technology Advisory.
Mit diesen Ansätzen erreichen und sichern Sie Compliance in einem auf Agilität ausgerichteten IT Governance Framework.
Schnell, "agil" und gleichzeitig sicher Software zu entwickeln, müssen sich nicht ausschließen.
Schnell, "agil" und gleichzeitig sicher Software zu entwickeln, müssen sich nicht ausschließen.
Foto: 3rdtimeluckystudio - shutterstock.com

Die Begriffe „Agilität“ und „Compliance“ stehen in der Wahrnehmung vieler für Zielsetzungen, die schwer miteinander vereinbar erscheinen. Doch ist diese Wahrnehmung nur durch Vorurteile oder erlebte Herausforderungen geprägt oder handelt es sich hier am Ende doch um prinzipiell widerstreitende Disziplinen?

In einem agilen Umfeld bestehen dieselben Herausforderungen für die Einhaltung von Compliance-Anforderungen wie bei einer traditionellen Arbeitsweise:

  • Genaue Kenntnis über einzuhaltende Vorgaben

  • Sachgerechte Umsetzung der Vorgaben in der Organisation und in Prozessen

  • Nachweis und nachhaltige Sicherung der Einhaltung der Vorgaben

Bereits bei traditioneller Arbeitsweise gelingt es Organisationen oftmals nur mit Mühen, diese Anforderungen zu erfüllen. Umso herausfordernder wird dieses in einem agilen Umfeld.

Hier gilt: Wer bei traditioneller Arbeitsweise schon nennenswerte Compliance-Defizite aufweist, wird bei einer Transformation hin zu einer agilen Arbeitsweise ohne Durchlaufen eines Lern- und Veränderungsprozesses nie seine Compliance-Ziele erreichen.

Als Ermutigung für alle, die sich auf den Weg machen wollen, beziehungsweise das Ziel noch nicht erreicht haben, hier der Hinweis: An den kritischen Erfolgsfaktoren für die Sicherstellung einer Compliance in einem agilen Umfeld ändert sich nichts. Es geht vielmehr darum, mit den relevantesten Erfolgsfaktoren für ein spezifisches Umfeld richtig umzugehen.

Compliance Management integriert betrachten

Entscheidend für die Zielerreichung ist der richtige methodische Einstieg in den bevorstehenden Transformationsprozess. Hierbei muss für den Fokus auf Compliance-Aspekte keine extra Methodik bemüht werden. Aktivitäten folgen vielmehr erprobten Ansätzen zur Gestaltung einer agilen Transformation. Compliance Management sollte hier also nicht als isoliert agierende Disziplin aufgefasst werden, sondern ist als integraler Bestandteil des Managements einer agilen Organisation zu sehen.

Erfolgsfaktoren innerhalb der Dimensionen einer agilen Transformation.
Erfolgsfaktoren innerhalb der Dimensionen einer agilen Transformation.
Foto: BearingPoint

Die Dimensionen Methoden, Technologie, Produkte, Prozesse, Kultur und Struktur sind Gegenstand von spezifischen Beratungsansätzen zur agilen Transformation. Innerhalb der Dimensionen bestehen eine Reihe von Erfolgsfaktoren, die in unterschiedlichem Maße für ein nachhaltiges Compliance Management einer agilen Organisation von Bedeutung sind.

Fokus auf Erfolgsfaktoren

Ein Ausschnitt der vorstehend genannten Erfolgsfaktoren soll beispielhaft für den Bereich IT Service Entwicklung und Betrieb erläutert werden:

Bei einer kurzzyklischen Gestaltung von Prozessen, wie bei DevSecOps, ist es wichtig, dass das Know-how sowie die Kompetenz bei den Beteiligten in ausreichendem Umfang vorhanden sind. Damit lassen sich zusätzliche Prüfungsprozesse oder Prozessabschnitte durch einen Wechsel von Team zu Team bzw. Rolle zu Rolle, die den Prozess zugleich verkomplizieren und verlangsamen, einsparen. Wichtige Erfolgsfaktoren sind damit:

  • Zielgruppenorientierte Aufbereitung der Grundprinzipien zur Erreichung von IT Compliance (IT Compliance ist alles andere als eine Raketenwissenschaft!)

  • Weiterbildung in den DevSecOps Teams zur Erlangung von Know-how und Befähigung zur Kompetenz

  • Integration von IT Sec/Compliance/Governance-Ressourcen in die DevSecOps-Teams

„Kontrollverdichtung" als Lösung

Hier kommt ein Ansatz ins Spiel, der zum "Meistern der Kür" unverzichtbar erscheint: die Kontrollverdichtung. Das Prinzip dieses Ansatzes verdeutlicht die nachfolgende Darstellung. Von typischerweise mehr als 500 Anforderungen unterschiedlicher Herkunft, die prinzipiell auch eine entsprechende Anzahl von IT-Kontrollen erfordern würden, gelingt toolgestützt eine Verdichtung auf 60 IT-Kontrollen. So reicht beispielsweise für die drei Anforderungen zum Thema "Kontrolliertes Änderungsmanagement", die in EU-DSGVO, ISO 2700 und ITIL mit faktisch identischem Kontrollziel formuliert sind, eine Kontrolle, die alle drei Anforderungen zugleich befriedigt.

Beispielhafte Verdichtung von Kontrollen.
Beispielhafte Verdichtung von Kontrollen.
Foto: BearingPoint in Anlehnung an „Gaulke, Markus (2020), Praxiswissen COBIT"

Ohne Paradigmenwechsel geht es nicht

Zur gleichzeitigen Erfüllung von Zielen der Agilität und der Compliance sind Vorgehensweisen sowie Werkzeuge vorhanden, die den Weg zum Ziel beherrschbar und für alle Stakeholder verständlich machen. Hervorzuheben sei hier der Paradigmenwechsel, der sich hierfür in den Organisationen vollziehen muss: In einer agilen Organisation ist die kontinuierliche Mitberücksichtigung von Compliance-Aspekten in allen Prozessen Teil der Unternehmens-DNA und erfordert dazu je nach Ausgangslage einen Veränderungsprozess, der Compliance Management vermehrt in die Rollenbeschreibung aller Mitarbeitenden eingehen lässt. (mb)