In Kooperation mit Aspectra

Compliance ist gut, Vertrauen ist besser

Uhr | Aktualisiert
von Kaspar Geiser

Nicht nur in der Geschäftswelt, auch im privaten Leben werden uns täglich neue Regeln und Vorgaben gemacht. Für die einen führt dies zu einer besseren Welt, für die anderen zu einer Gesellschaft ohne Freiheit. Vor allem in der IT und im Namen der "Compliance" wird versucht, alles und jedes mit Verordnungen und Standards zu reglementieren.

Das hat auch eine gewisse Berechtigung, denn kaum ein Geschäftsprozess funktioniert heute noch ohne IT. Die IT wird immer mehr zum Rückgrat unserer Geschäftswelt. Probleme der IT führen mittlerweile in vielen Unternehmen zu gravierenden Problemen wie Reputationsverlust oder Betriebsunterbrüchen und damit zu Umsatzausfall. Als Folge dieser Entwicklung haben sich über die Jahre immer mehr Prozesslandschaften und Kontrollmechanismen entwickelt. Die verantwortlichen Stellen verlangen von ihren IT-Abteilungen und externen IT-Lieferanten immer mehr, dass diese über entsprechende Zertifizierungen und anerkannte Audits verfügen.

Alter Wein in neuen Schläuchen

Natürlich haben die IT-Hersteller und Lieferanten den Trend erkannt. Mit immer neuen Namen versuchen sie die Gunst der Kunden zu erlangen. Am Anfang stand das "Quality Management", dann folgten ITSEC, TCSEC, CobiT, SOX, BS, verschiedene ISO und DIN Standards, dann ITIL und so weiter und so fort. Die Geschichte der IT, oder der IT als tragendes Element von Geschäftsprozessen ist über die gesamte Wirtschaftsgeschichte  betrachtet  eine kurze. Hard- und Software haben kurze Lebenszyklen. Dieser Fakt führt wohl dazu, dass dies auch für Regelwerke rund um die IT gilt. Das Resultat ist eine Vielzahl von Regelwerken mit meist kurzer Lebensdauer. Doch inhaltlich betrachtet unterscheiden sich die verschiedenen Standards und Vorgehensweisen wenig. Im Gegenteil, durch die kurze Gültigkeit und die immer schlaueren Ideen der Erfinder dieser Regelwerke entstehen Doppelspurigkeiten und eine sinnvolle Evolution eines solchen Werkes findet kaum statt. Man kann also getrost von "Alter Wein in neuen Schläuchen" sprechen.

Doch was sind nun sinnvolle Mittel, die IT in den Begriff zu kommen? Und was ist zu tun, damit die IT funktioniert? Wie hält man mit den technologischen Entwicklungen mit? Wie erhöht sich die Verfügbarkeit und Stabilität der IT? Ist "Compliant Sein" ein Erfolgsfaktor der IT?

Compliance ist gut…

Natürlich sind Vorgaben und deren Kontrollen nötig. Doch Kontrollen sollen dort durchgeführt werden, wo sie Sinn machen und sowohl dem Leistungserbringer wie auch dem Kunden beziehungsweise Anwender einen Mehrwert bringen. Kontrollen um der Kontrolle wegen, beziehungsweise zur Befriedigung des IT-Auditors, sind nicht nur ineffizient sondern kontraproduktiv.

Die Formulierung und Durchführung zweckmässiger Kontrollen ist nicht immer einfach und erfordert eine intensive Auseinandersetzung mit der jeweiligen technischen Materie. Der mit der Materie vertraute Mitarbeiter hat immer einen Informationsvorsprung gegenüber dem Kontrolleur. Ausserdem findet die Kontrolle immer nur in Stichproben statt. Daher kann keine Kontrolle garantieren, dass keine Schwachstellen existieren. Durch diesen Umstand wird wohl der Ruf nach den bereits erwähnten Standards und Regelwerken immer wieder kommen. Auch um persönliche Entscheide abzusichern, werden gerne von Lieferanten und Mitarbeiter die entsprechenden Zertifizierungen verlangt. Solche Zertifizierungen und Kontrollen sind zwar notwendig, aber leider nicht hinreichend.

…Vertrauen ist besser

Was im "normalen" Leben gilt, hat auch in der IT Gültigkeit. Wenn ich auf etwas angewiesen bin, das ich nicht selber erbringen kann, muss ich meinem Partner, Lieferanten und Mitarbeiter vertrauen können. Für die IT wiederum bedeutet dies, dass innerhalb der IT-Organisation die Aufgaben mit den dazugehörigen Kompetenzen und Verantwortungen an die dafür qualifizierten Menschen übertragen werden. Oder anders gesagt: Die Menschen erhalten die Herausforderungen, die ihnen entsprechen. Dadurch schaffen wir für den einzelnen Mitarbeiter ein Aktionsfeld, in welchem dieser sich entwickeln kann und für welches er sich auch verantwortlich fühlt.

Natürlich müssen Vorgaben über die zu erwartende Leistung gemacht werden, diese sollten jedoch in einer Art und Weise formuliert sein, dass zur Erfüllung der Aufgabe genügend Freiraum für die Mitarbeiter besteht. IT-Mitarbeiter sind in der Regel bestens ausgebildete und intelligente Menschen. Sie sind sich gewohnt, mit einer hohen Auftragstreue und hohem Berufsstolz die an sie herangetragenen Aufgaben zu erledigen. Arbeiten nach Kochbuch führen sie nur ungern aus. Diese Mitarbeiter haben aber nicht nur an ihre Aufgaben hohe Anforderungen, sondern auch an ihre Vorgesetzten und an ihr Unternehmen. Nur wenn das Unternehmen alle diese Ansprüche erfüllen kann, identifizieren sich die Mitarbeiter mit ihm und empfinden die Loyalität die letztlich die Basis ist für gegenseitiges Vertrauen.

Zertifizierungen und Regelwerke sollten daher auch dahin zielen, dem IT-Mitarbeiter einen Mehrwert aufzuzeigen. Sie sollten so ausgelegt sein, dass seine Arbeit dadurch an Qualität gewinnt. Ein Regelwerk das mit Hunderten von Kontrollfragen, womöglich noch mit ja/nein Antworten die Arbeit einer IT Abteilung beurteilen will, wird kaum zu einer sicheren, leistungsfähigen und hochverfügbaren IT- Lösung führen. Durch gegenseitiges Vertrauen zwischen Mitarbeitern und Leistungserbringer entstehen Partnerschaften, die zu dauerhaften, funktionierenden und sicheren Lösungen führen.