Ganz überraschend kommt die Sache nicht. Es zeichnete sich schon länger ab, dass die bisherigen Regelungen zur Kontrolle der global agierenden Unternehmen nicht mehr ausreichten. Bei einer Reihe spektakulärer Firmenszusammenbrüche wie Worldcom, Enron oder Parmalat zeigte sich, dass die Risiken nicht auf die unmittelbar Beteiligten und erst recht nicht auf die Verursacher beschränkt bleiben.
Es geht daher beim Thema Compliance darum, durch bessere Transparenz Risiken rechtzeitig zu erkennen und gegenzusteuern. Dass dabei der IT eine Schlüsselrolle zukommt, ist klar: Zum einen gibt es keine relevanten Geschäftsprozesse mehr, die ohne maßgebliche IT-Beteiligung überhaupt funktionieren würden, zum anderen hält die IT als der große Informationspool moderner Unternehmen den Schlüssel zu allen Prozessen in ihrer Hand. Ohne IT kann es keine Compliance geben, aber künftig wird es auch keine IT mehr ohne Compliance geben können.
Umfang ist oftmals nicht bekannt
Noch immer ist vielen der Betroffenen nicht klar, in welchem Umfang sie betroffen sind. Wenn nämlich Compliance-Regelungen ein wirksames Mittel gegen die stetig wachsenden Risiken des geschäftlichen Handelns sein sollen, müssen wirklich alle Bereiche im Unternehmensumfeld erfasst werden. Das gilt auch für alle Bereiche der IT und hier auch für jene Themen, die sich bisher eher im Windschatten aktueller Entwicklungen gehalten haben. Dazu zählt beispielsweise die automatische Prozessverarbeitung, früher etwas prosaischer Batch-Processing.
Außerhalb des harten Kerns der IT-Abteilungen und Rechenzentren ist heute oft gar nicht bekannt, dass die Mehrzahl der IT-Prozesse im Batch-Betrieb laufen. In größeren Unternehmen sind bis zu 70 Prozent der Prozesse Batch-Prozesse. Und zwar keineswegs "noch immer", denn das Batch-Verfahren ist alles andere als ein Auslaufmodell. Auch moderne Anwendungen wie SAP machen aus Performance-Gründen regen Gebrauch von dieser Technik, was ebenfalls gerne übersehen wird - umso mehr als die Batch-Verfahren in der Regel in den betriebsschwachen Zeiten laufen, also vorzugsweise nachts.
Automatische Prozesse auf dem Vormarsch
In einer IT-Welt, die ihre eigenen Verfahren zunehmend automatisiert, nimmt das Gewicht des Batch-Processing zwangsläufig weiter zu. Schließlich sind die manuellen Verarbeitungen aller benutzergeführten Dialoge erheblich teurer als automatische Verfahren. Ein Graphical User Interface (GUI) ist immer teurer als Batch. Einmal eingerichtet sind Batch-Jobs weniger fehleranfällig, und dass die Fehlerbehebung wiederum besonders teuer ist spricht abermals für die Batch-Verfahren.
Freilich sind Batch-Jobs, vor allem aber komplexe Batch-Ketten und -Netze, deren Ausführung sich meist über Stunden hinzieht und die in den heute üblichen heterogenen IT-Landschaften sich über unterschiedliche Plattformen und Systeme erstrecken, vielfach eine Art Black Box; man ist froh, dass es funktioniert, dass man die gewünschten Ergebnisse erhält und im Übrigen gilt: Never Touch a Running System. Dazu kommt, dass viele Unternehmen die Steuerung und Kontrolle ihrer automatischen Prozessverarbeitung mit Werkzeugen der Marke Eigenbau vornehmen, deren genaue Wirkungsweise ebenfalls niemand kennt. Professionelle Scheduler sind vor allem bei kleineren Unternehmen die Ausnahme.
Genau diese Haltung verträgt sich mit Compliance überhaupt nicht. Hier kommt es darauf an, dass Vorgänge systematisch dokumentiert werden, dass jederzeit nachvollziehbar ist, was wo warum passiert, also welche Prozesse zu welchem Zeitpunkt auf welchem System ausgeführt werden. Dazu gehört aber auch, welche Vorkehrungen gegen Störungen getroffen wurden, ob also die Prozesse ausfallsicher gesteuert werden können.
Immerhin können aus derartigen Problemen erhebliche Risiken entstehen: wenn beispielsweise in nächtlichen Batch-Läufen ein Logistik-System die Waren für die Auslieferungen des nächsten Tages automatisch konfektioniert, so kann bei einer Störung in der zuständigen Job-Kette diese Aufgabe nicht zu Ende gebracht werden, woraus einem Unternehmen enorme Verluste entstehen können. Hier muss das Scheduling-System Vorsorge treffen, zum Beispiel durch automatische Alarmpläne, durch die Verzweigung zu störungsfreien Systemen oder andere Maßnahmen.
Qualitätssicherung für automatische Prozesse
Der reibungslose Ablauf der automatischen Prozesse ist ein wichtiger Faktor für die Qualität der gesamten IT. Gerade in Systemen, die hohe Anforderungen an die Verfügbarkeit stellen, muss auch die inhaltlich und zeitlich korrekte Abarbeitung der Batch-Jobs gewährleistet sein. Es nützt wenig, wenn um Compliance-Anforderungen zu genügen hochverfügbare Systeme installiert werden, die mit USV, Plattenspiegelung, redundante CPU usw. technisch gegen alle denkbaren Risiken des Betriebs gefeit sind, während sich im Betrieb dann beispielsweise die Batch-Jobs gegenseitig blockieren.
Es reicht in der Compliance-Welt jedoch nicht aus, dass es derartige Vorkehrungen gibt. Die Zuverlässigkeit muss auch exakt und nachvollziehbar dokumentiert sein, so dass sich Dritte, beispielsweise Kreditgeber davon überzeugen können, dass hier keine Gefahr für den Geschäftsprozess droht. Wer dann glaubt, beispielsweise ein Logistik-System, eine Poststraße oder ein Warenwirtschaftssystem mit einem selbst geschriebenen Job-Scheduler steuern zu können, dem wird spätestens im Schadensfall der Nachweis schwer fallen, dass alles unternommen wurde, um virulente Risiken zu reduzieren. Nur moderne, professionelle Lösungen für Job-Scheduling sind tatsächlich in der Lage, ihre Jobs autonom und dynamisch auch durch eine Welt von Feinden zu lotsen.
Natürlich wurde Compliance nicht erfunden, damit die Fans des Batch-Betriebs endlich ihre verdiente Anerkennung bekommen. Es wäre auch vermessen zu behaupten, Batch-Processing und Job-Scheduling wären die entscheidenden Faktoren eines Compliance-Konzepts. Aber sie sind ein Baustein eines solchen Konzepts und diese Rolle spielen sie hier, - anders als in manchem herkömmlichen Hype-orientierten IT-Konzept - weil Compliance nur funktionieren kann, wenn sie umfassend verstanden wird und alle Bereiche der IT abdeckt. Ohne angemessene Berücksichtigung der automatischen Prozessverarbeitung wird sich Compliance jedenfalls nicht herstellen lassen.