Alarm an Bord: Christian Anschuetz wäre nicht gern auf der "Titanic" gewesen. Dabei war alles compliant auf dem alten Dampfer, wie der CIO und Senior Vice President des Zertifizierungs-Dienstleisters UL (Underwriters Laboratories) unserer US-Schwesterpublikation networkworld.com sagte. Die Zahl der Rettungsbote entsprach exakt der vorgeschriebenen Menge. Das Problem war eben, dass die Compliance-Verantwortlichen zu wenig Ahnung von der Sache hatten. Und so verloren mehr als 1.500 Menschen ihr Leben, obwohl die Vorschriften doch erfüllt waren.
Diesen Vergleich zieht Anschuetz für die heutige Diskussion um gesetzliche und regulatorische Vorgaben heran. Der CIO spricht sich für klare Prioritäten aus. Im Spannungsfeld von Risk/Sicherheit einerseits und Compliance andererseits ist ihm Ersteres deutlich wichtiger.
Mit der Parallele zur Titanic will Anschuetz deutlich machen, dass das Einhalten von Regularien ein trügerisches Sicherheitsempfinden bewirken kann. Daraus könnten neue Risiken entstehen. Er argumentiert, dass Regelwerke häufig nur einen Mindest-Standard erfüllen, da sie ja allgemeine Vorgaben erstellen. Das individuelle Unternehmen läuft Gefahr, darüber hinausgehende Risiken zu übersehen.
Anschuetz plädiert für eine Abkehr vom Compliance-Mindset und eine Entwicklung zu einer Denkweise des Risiko-Managements. Dass er damit keine offenen Türen einrennt, ist dem CIO klar: „Als Unternehmenslenker wie als gute Staatsbürger sind wir es gewohnt, uns an die Regeln zu halten. Aber Risiken zu managen?"
Anschuetz will eine ganz neue Denkweise, die allerdings weit schwieriger ist als die gewohnte. Denn Regeln sind konkrete Vorgaben, an die man sich halten kann – Risiken zu managen, heißt, sich mit weit weniger Konkretem auseinander zu setzen. Es geht hier viel um Möglichkeiten und Wahrscheinlichkeiten.
Auf Unternehmen bezogen heißt das: Risk-Management beinhaltet nicht nur das Identifizieren und Analysieren möglicher Gefahren, sondern auch die Entwicklung möglicher Notfall-Maßnahmen. Das bezieht sich auf technologische Risiken, Datenschutz, kommerzielle und finanzielle Risiken und natürlich auf Compliance-Risiken.
Compliance als Papiertiger
Der UL-CIO führt ein Beispiel aus dem Bereich Datenschutz an. Ein Unternehmen mag alle Richtlinien festgeschrieben haben, aber so lange die Mitarbeiter im praktischen Umgang mit den Daten nicht geschult und keine adäquaten Prozesse dafür aufgesetzt sind, schützt sich die Firma nicht wirklich.
Anschuetz will nicht falsch verstanden werden. Er spricht sich nicht gegen Regularien aus – schon gar nicht vor dem Hintergrund der Strafen, die mit Compliance-Verstößen einher gehen können. Aber Papier ist geduldig, die Wirklichkeit nicht. Vom Kapitän der Titanic hätte er sich gewünscht, dass dieser spätestens vor der Jungfernfahrt des Luxus-Liners durch das Schiff gegangen wäre und sich alles genau angesehen hätte. Mit dem Blick auf mögliche Risiken hätte er das Unglück abwenden können.
Diesen Ansatz teilt Dan Abdul. Er arbeitet nicht in der freien Wirtschaft, sondern im Öffentlichen Dienst. Abdul ist CIO beim Minnesota Department of Veteran Affairs. Seine These: ein holistischer Blick auf Risiko-Management schließt Compliance ein. Auch Abdul priorisiert also Risk beziehunsweise Sicherheit.
Der CIO sähe die Menge an Arbeitszeit, die Compliance beansprucht, lieber für das Thema Risiko-Management aufgewendet. Seine Kritik lautet, dass Regularien etwa vom Gesetzgeber häufig schwammig formuliert sind. Da sei Einiges Auslegungssache, schreibt Abdul. Letztlich könne kaum eine Behörde oder ein Unternehmen sicher sein, alle Regelwerke auch wirklich genau zu erfüllen.
Der SOX liefert keine konkreten Handlungsanweisungen
Als Beispiel führt er den Sarbanes-Oxley Act (SOX) an. Dieses US-Bundesgesetz entstand als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom und soll die Verlässlichkeit des Financial Reportings verbessern. Aus Sicht von Abdul liefert der SOX keine konkreten Handlungsanweisungen oder Business Practices.
Daher spricht sich der CIO für ein pragmatisches Vorgehen aus. Jedes Unternehmen muss die eigene Lage analysieren und die Abwehr von Risiken dann priorisieren. Er will IT/Technologie einerseits und Business andererseits getrennt sehen. Aufgabe der IT sei, technologie-basierte Risiken einzuschätzen und dem Business deutlich zu machen. Wie die Prioritätenliste des Unternehmens dann aber letztendlich aussieht, kann und soll nicht der CIO entscheiden.
Abdul setzt voraus, dass Risiko-Management als unternehmensweite Aufgabe verstanden wird. Wenn das in jeder Abteilung ankomme, sei das Unternehmen besser geschützt als durch das sture Befolgen von Regeln.
Blogger Jon Oltsik ergänzt die Standpunkte der beiden CIOs durch ein Beispiel aus seinem Alltag. Er habe einen stark übergewichtigen Kollegen gehabt, schreibt Oltsik. Dem habe der Doktor eines Tages das Essen von mehr Salat verordnet. Der wackere Kollege ging in der Kantine also an die Salatbar und legte je eine Tomatenscheibe, ein grünes Salatblatt und ein Zwiebelchen auf seinen Teller. Obendrauf kamen jede Menge Käse, Schinkenstreifen und Sahne-Dressing.