Archiv der Kategorie ‘Risikomanagement‘

 
 

Das Compliance-Dilemma

Compliance, die Einhaltung rechtlicher und eigener verbindlicher Vorgaben und Richtlinien, scheint doch so einfach, tja wären doch unsere Regelungen widerspruchsfrei und aufeinander abgestimmt.

Und dann leben wir auch noch in einer globalisierten Welt, wo wir dann auch noch die Compliance in den verschiedenen betroffenen Rechtsräumen brauchen – ich meine jetzt nicht unterschiedliche Fachgebiete, sondern geografisch einzelne Länder mit ihren eigenen Rechtssystemen. Welcher Rechtsraum ist für unseren konkreten Geschäftsvorfall relevant? Bzw. welche Rechtsräume sind relevant? Die direkt betroffenen? Also wenn wir einen deutsch-ägyptischen Geschäftsfall anschauen: deutsches Recht und ägyptisches Recht? Was ist mit der Transitstrecke? Oh Mist, US-Recht beansprucht für sich weltweite Gültigkeit, verpflichtet „US-Persons“ und das sind nicht nur US-Staatsbürger, sondern beispielsweise auch Greencard-Inhaber oder Geschäftsreisende, die sich in USA aufhalten, und nimmt sie in die Pflicht. Wenn auch noch US-Technologie davon betroffen ist, weil die verwendeten Schrauben auf einer US-Drehbank gefertigt wurden, dann mal viel Spaß. Und wir haben noch nicht geschaut, ob nicht auch das nordkoreanisches Recht Anforderungen an unseren konkreten Vorgang richtet. Dessen Relevanz haben wir womöglich gedanklich ausgeblendet. Ein Abwägungsprozess – nicht Compliance.

Einen weiteren Abwägungsprozess liefert uns die Verhältnismässigkeit der Mittel. Denken wir an Informationssicherheit und fehlerfreie Programmierung. Mit absolutem Anspruch vollkommen unsinnige Zielsetzungen, weil wer 100%-ige IT-Sicherheit verspricht oder fehlerfreie Programme von der Materie keine Ahnung hat oder ein Blender ist. Ob wir wollen oder nicht kommen wir um Abwägung und einen Risiko-basierten Ansatz nicht herum. Wir müssen ein sinnvolles Sicherheitsniveau definieren und verfolgen. Und auch hier wieder bewusst abwägen.

Die Abwägung unterhöhlt elementare Grundprinzipien beispielsweise im Datenschutz, wo sich selbst staatliche Hüter der Domäne, die sonst alle Betroffenen mit aller Härte in Ihre Schranken verweisen, z.B. gegenüber Lobbyisten der Versicherungswirtschaft in die Knie gehen, selbst wenn es um die Auswertung besonderer personenbezogenen Daten geht.

Compliance ist zweifellos ein weites Feld. Ein schwammiges noch dazu.

Wenn wir mit Compliance-Anforderungen konfrontiert sind, ist die Definition geeigneter Prozesse unsere einzige Chance Transparenz in die Abläufe und Abwägungen  zu bringen und Verantwortung wahr zu nehmen.

Ein echtes Dilemma.

Das Compliance-Dilemma.

 

Beitrag #701 auf schlossBlog

#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?

#625 Was tun wenn´s brennt?

Für die zweite Ausgabe des ProjektSMag hat Tim Dettmer u.a. mich gefragt, was ich tun würde wenn ein Risiko mit hoher Tragweite eintritt. Hier meine Antwort:

  • (1) Orientieren – Meine „Lieblingswerkzeuge sind hierbei der MindManager und visuelle Hilfsmittel wie der openPM-Canvas (den ich auch selber mitentwickelt habe).
  • (2) Kommunizieren & Transparenz – Kommunikation ist der Erfolgsfaktor in Projekten schlechthin. Ohne Kommunikation gibt es keine Transparenz. Die Kommunikation muss dabei konstruktiv, also lösungsorientiert sein. Schuldzuweisungen, Fingerpointing, etc. sind gerade in Krisenzeiten zwar beliebt, aber kontraproduktiv
  • (3) Verbindliches Handeln – Ich brauche nicht die x-te Revision eines Projektplans, oft reicht schon eine einfache Aufgabenliste mit klaren Verantwortlichkeiten, die dann aber auch verbindlich umgesetzt und verfolgt wird.

#596 Risikomanagement und Intuition

Im aktuellen RiskNet-Newsletter ist ein Interview mit dem Neurowisenschaftler Prof. Dr. Bernd Weber und dem Beraterkollegen Axel Esser erschienen mit der Aufforderung sich im Risikomanagement nicht auf Intuition zu verlassen.

Hierzu entscheidend Bernd Weber:

Einerseits gibt es aus der Gehirnforschung die Aussage, analytisch-logische Verfahren sind hilfreich bei einfachen Entscheidungen und bei komplexen Entscheidungen ist Intuition besser. Das trifft so wohl auch für die alltäglichen Entscheidungen zu, die wir treffen müssen. Das ist allerdings anders, wenn es um unternehmerische oder finanzielle Entscheidungen unter Risiko geht. Da sollten wir uns lieber nicht auf Heuristiken oder Intuition verlassen. Intuition basiert auf der Fähigkeit der Mustererkennung im Gehirn, das heißt einer automatischen Abwägung von „gelernten Wahrscheinlichkeiten“. Das bedingt ein Umfeld, das hinreichend regelmäßig ist, um vorhersagbar zu sein und viele Gelegenheiten, diese Regelmäßigkeit durch langjährige Erfahrung zu bestätigen.

Diese Einstufung von Intuition erscheint mit plausibel und realistisch, aber was die komplexen unternehmerischen und finanziellen Entscheidungen angeht fehlt dieser Realismus gegenüber den dort nach Meinung von Weber und Esser anzuwendenden Methoden. Es ist wichtig die Grenzen der angewandten Methodik zu kennen. Was die Intuition angeht bin ich ganz bei den beiden, vermisse aber die relativierende Einschätzung anderer Methoden.

Wir leiden an einer Methodengläubigkeit ohne deren Grenzen zu thematisieren. Unsere Modelle sind logischerweise vereinfachend und unvollständig. Von der Intuition wissen wir, dass sie nicht perfekt ist, aber an Methoden klammern wir uns fest.

Wenn wir nicht hinreichend „gelernte Wahrscheinlichkeiten“ haben, können wir dann überhaupt die Zuverlässigkeit jedweder Methode beurteilen?

Nun, wir tun es wohl trotzdem. Ohne Kritikbewusstsein, Ein selbstkritisches intuitives Vorgehen  ist mir da lieber, wohlwissend dass die permanete Hinterfragung der Intuition keine leichte Hürde ist.

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:

#574 Best of… Risikomanagement

Der nächste Beitrag im Best of… diesmal zum Risikomanagement:

#550 Was können wir aus Großprojekten lernen?

Christian Vogel hat auf openPM eine Diskussion anlässlich der aktuellen BER-Geschichte gestartet.

Hallo Dummköpfe! Hallo Lügner!  – Diskutiert mit!

(Diese Anrede ist geklaut aus einem Google+ Post von Heiko Bartlog und bezieht sich auf einen Artikel des Planungsexperten Bent Flyvbjerg, der u.a. bei Spiegel online derzeit die Runde macht.)

Übrigens: Ich bin auch ein Lügner und Dummkopf!

#506 Compliance vs. Risikomanagement II

Um die Gegenüberstellung von Compliance und Risikomanagement aus dem letzten Post noch einmal aufzugreifen:

Vielleicht hat Risikomanagement das Potential blindes Compliance-Denken abzulösen.

Die Crux der Compliance ist, dass sie eigentlich mit dem Zero Tolerance-Gedanken verbunden ist, d.h. entweder man ist rechtskonform oder nicht. In der Praxis stößt dies aber an Grenzen. Eine Grenze bildet die technische Machbarkeit, eine weitere die zeitliche Dimension. Eine Kosten-Nutzen-Überlegung lässt der Compliance-Gedanke eben aufgrund der Zero-Tolerance nicht zu. Ganz im Gegensatz zum Risikomanagement. Hier sind Machbarkeit und Kosten-Nutzen-Denken legitime Bestandteile. Dies soll aber nicht als Aufforderung zu einem skrupelosen Kosten-Nutzen-Denken missverstanden werden (z.B. durch Einkalkulation eventueller Strafen oder sonstiger Konsequenzen). Aber die Rückkehr zu gesundem Menschenverstand (oder wie der Österreicher sagt: Hausverstand) und eine Abkehr von einer sturen Compliance-Umsetzung um jeden Preis (die vermutlich eh nur zum Scheitern verurteilt ist)  hat durchaus Charme.

#505 Compliance vs. Risikomanagement

In den aktuellen RiskNews findet sich ein lesenswerter Beitrag „Verhindert Compliance ein effektives Risk Management?„.

Die angeführte Studie wird mit einem bemerkenswerten Hinweis zitiert:

Laut der Umfrage verhindert in vielen Fällen eine zu starke Konzentration auf Compliance – statt auf grundlegende Abläufe und Prozesse (42 Prozent) – einen effektiven ERM-Prozess.

(ERM = Enterprise Risk Management)

Letztlich bezieht sich diese Aussage v.a. auf formale Complianceprozesse gegenüber einem unternehmerischen Risikomanagement, das sich aktiv mit Chancen und Risiken auseinandersetzt. Kriegsentscheidend ist eine entsprechende Kultur.

Im Umkehrschluss lässt sich aber auch feststellen, dass rein formale Risikomanagement-Prozesse der gleiche Murks sind. Und leider ist heute auch im Risikomanagement häufig lediglich eine formale Ausprägung zu finden.

#498 Risikomanagement und Wahrnehmung

Nach all der Euphorie aus dem PM Camp muss auch noch Platz bleiben für andere Themen (auch wenn es danach wieder mit PM Camp weitergeht)!

Die gestern erschienen RiskNEWS enthalten einen interessanten Beitrag zum Thema Risikomanagement: Risiko ist ein Konstrukt der Wahrnehmung von Dr. Stefan Hirschmann. Die Wahrnehmung von Risiken ist hochgradig individuell und wird von vielen Faktoren beeinflusst.