"Irgendwann hatten wir das Gefühl, kein Reifenhersteller mehr zu sein, sondern ein Full time-Governance-Spezialist", erklärt einer der Studienteilnehmer. Die Analysten nicken mitfühlend, legen aber gleich den Finger in die Wunde: Wem es gelingt, Governance nicht als negativen Druck anzusehen, sondern als Mittel zur Optimierung von Prozessen und Ressourcen, wird mit nachprüfbaren Verbesserungen belohnt.
Beispiel IT-Projekte und Services: Unter den Unternehmen mit den besten Ergebnissen ("Best in Class") konnten 15 Prozent den Zeitaufwand für das Implementieren neuer Projekte verringern. Vier Prozent konnten darüber hinaus beim Betrieb laufender Projekte Ressourcen einsparen und für neue Aktivitäten nutzen. Zum Vergleich: Alle anderen Studienteilnehmer haben angegeben, das Implementieren neuer Projekte und Services dauere immer länger.
Knapp drei Viertel (74 Prozent) der "Best in Class"-Firmen konnten die Zahl der Non-Compliance-Vorfälle (verfehlte Audits o.ä.) binnen Jahresfrist verringern - von den Durchschnittsfirmen gilt das für keine. Und während 29 Prozent der Musterschüler sogar die Kosten für diese Vorfälle senken konnten, musste jedes zehnte Durchschnittsunternehmen tiefer in die Tasche greifen.
Was Sicherheitsvorfälle betrifft, so haben 63 Prozent aller Klassenbesten die Anzahl gesenkt und fast jeder Zweite (48 Prozent) weniger Geld für ihre Bewältigung ausgegeben. Im Schnitt schlugen solche Vorfälle mit 14 Prozent mehr Kosten zu Buche.
Die Analysten haben nach den Gründen geforscht. Diese basieren zunächst einmal auf verschiedenen Einstellungen: Die "oberen 20 Prozent" der Studie, die sich wegen ihrer Gesamt-Performance zu den "Best in Class" zählen dürfen, begreifen Risk Management und Security Governance beziehungsweise Compliance allgemein als Mitstreiter, nicht als Gegner.
Erfolgsfaktor Automatisierung
Konkret manifestiert sich das zum Beispiel in folgenden Punkten: 55 Prozent der "BiC"-Unternehmen weisen eine tragfähige Compliance-Infrastruktur mit automatisierten Prozessen auf. Im Schnitt sind es nur 47 Prozent der Studienteilnehmer, unter den besonders langsamen Firmen ("Laggards") sogar nur 29 Prozent.
Und während fast jeder dritte (32 Prozent) der Erfolgs-Firmen durch Zentralisierung die Visibilität erhöht, sind es im Durchschnitt nur 16 Prozent.
Die Analysten leiten aus den Studienergebnissen folgende Ratschläge ab:
-
Der erste Schritt besteht im Anfertigen einer Übersicht der Risiken, Regularien und Standards, die für das Unternehmen relevant sind. (Glaubt man Aberdeen, hat sich unter den "Laggards" noch nicht einmal jeder dritte ein klares Bild davon gemacht.)
-
Prioritäten setzen. Dabei kann Expertise von außen notwendig sein.
-
Das Etablieren konsistenter Policies sowie ihre Dokumentation und entsprechende betriebsinterne Schulungen.
-
Ohne Monitoring und Kontrollen geht es nicht.
-
Automatisierung reduziert Fehlerquellen.
Ziel ist es, Aussagen wie die folgende zu vermeiden: "Die Hälfte unserer Aktivitäten rund um Sicherheit und Compliance ist Zeitverschwendung. Das Problem ist, wir wissen nicht, welche Hälfte."
Aberdeen hat für die Studie "Security Governance and Risk Management" mit Entscheidern aus 140 Unternehmen gesprochen.