Pragmatismus geht vor
CIOs rebellieren gegen Compliance
Der CIO sähe die Menge an Arbeitszeit, die Compliance beansprucht, lieber für das Thema Risiko-Management aufgewendet. Seine Kritik lautet, dass Regularien etwa vom Gesetzgeber häufig schwammig formuliert sind. Da sei Einiges Auslegungssache, schreibt Abdul. Letztlich könne kaum eine Behörde oder ein Unternehmen sicher sein, alle Regelwerke auch wirklich genau zu erfüllen.
Der SOX liefert keine konkreten Handlungsanweisungen
Als Beispiel führt er den Sarbanes-Oxley Act (SOX) an. Dieses US-Bundesgesetz entstand als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom und soll die Verlässlichkeit des Financial Reportings verbessern. Aus Sicht von Abdul liefert der SOX keine konkreten Handlungsanweisungen oder Business Practices.
Daher spricht sich der CIO für ein pragmatisches Vorgehen aus. Jedes Unternehmen muss die eigene Lage analysieren und die Abwehr von Risiken dann priorisieren. Er will IT/Technologie einerseits und Business andererseits getrennt sehen. Aufgabe der IT sei, technologie-basierte Risiken einzuschätzen und dem Business deutlich zu machen. Wie die Prioritätenliste des Unternehmens dann aber letztendlich aussieht, kann und soll nicht der CIO entscheiden.
Abdul setzt voraus, dass Risiko-Management als unternehmensweite Aufgabe verstanden wird. Wenn das in jeder Abteilung ankomme, sei das Unternehmen besser geschützt als durch das sture Befolgen von Regeln.
Blogger Jon Oltsik ergänzt die Standpunkte der beiden CIOs durch ein Beispiel aus seinem Alltag. Er habe einen stark übergewichtigen Kollegen gehabt, schreibt Oltsik. Dem habe der Doktor eines Tages das Essen von mehr Salat verordnet. Der wackere Kollege ging in der Kantine also an die Salatbar und legte je eine Tomatenscheibe, ein grünes Salatblatt und ein Zwiebelchen auf seinen Teller. Obendrauf kamen jede Menge Käse, Schinkenstreifen und Sahne-Dressing.