Kosten und Aufwand für Compliance Aktivitäten wachsen und wachsen. Kein Wunder also, wenn die Kosten der Compliance immer mehr in den Vordergrund rücken.

Hamid Nouri hat sich bereits in einem Beitrag aus dem Jahr 2005 mit dem Thema auseinander gesetzt. Er fragt nach den Auswirkungen der Compliance-Anforderungen auf die IT und weist darauf hin (auch wenn Compliance eine fachliche und keine IT-spezifische Anforderung ist), dass die IT durch Aktivitäten wie Business Continuity Management, IT Service Continuity und Project Portfolio Management Initiativen bereits mit ähnlichen Anforderungen konfrontiert ist.

Nouri liefert möglicherweise den Schlüssel für erfolgreiche Compliance-Aktivitäten und identifiziert die Voraussetzung hierfür:

„… if they are combined or coordinated with IT process and service transformation initiaitves using industry best practrices.“ (p. 8 )

Folgerichtig plädiert er für die Anwendung einer Compliance Management Architecture – also den Einsatz von ITIL & Co. Eine zentrale Rolle fällt dem ITIL Change und Release Management zu. Allerdings attestiert er hierzu treffend:

„Today, in many organizations, the process for handling change requests and change deployment for application systems and infrastructure are very much an inconsistent, manual and laborious set of processes. Most IT organizations are overwhelmed with the volume of changes thrown at them continuously. …“ (p. 15)

Zusammengefasst könnte man also sagen, dass sich Compliance Anforderungen sinnvollerweise im Rahmen der bestehenden Betriebsprozesse umsetzen lassen. Nouri argumentiert weiter, dass sich hier durch Automatisierung und den Einsatz entsprechender prozess-unterstützenden Tools Compliance-Kosten senken lassen.

Unabhängig von dieser letzten Hypothese, scheint mir der Ansatz dieser Compliance Management Architecture zielführend. Es bedarf keiner eigenen zusätzlichen Organisation, keines zusätzlichen Metaprozesses zur Umsetzung der Complianceanforderungen, wenn man diesen Weg konsequent zu Ende denkt. Allerdings muss die Service-erbringede Organisation dazu ertüchtigt werden, aber das muss sie eigenlich in jedem Ansatz. Service-Verantwortliche brauchen eine Awareness für Compliancethemen.

Weitere Beiträge zu Compliancethemen auf schlossBlog.

Dezentralität, das ist das Fazit, das auf netzpolitik.org aus den aktuellen Vorgängen um Wikileaks gezogen wird. Dies konsequent für Firmenarchitekturen zu Ende gedacht ergibt eine Konterrevolution.

Ganz im Sinne des vorstehenden Beitrags werden auch auf Blick Log die Konsequenzen aus dem Umgang mit den jüngsten Veröffentlichungen von Wikileaks gesehen.

Nicht alles ist rosarot in Sachen Cloud. Die Gesellschaft für Informatik hat vor allem Bedenken hinsichtlich „Identity Management, Access Control und Integrity Control, Logging sowie Auditing, Risk Management und … Compliance“.
Auch das aktuelle Beispiel Wikileaks ist nicht ganz unpikant. Soviel Interesse des Providers an gehosteten Daten kennt man normalerweise nicht. Offenbar hat Amazon die Daten „analysiert“, denn wie sonst könnten sie eine Kündigung ihres Cloud-Services mit Urheberrechts-Verletzungen begründen.
Auch Paypal hat jetzt Wikileaks Konten gesperrt.
Natürlich kann Wikileaks keinen Freibrief für all seine Aktivitäten bekommen, aber solche Reaktionen haben ein gewisses „Geschmäckle“.
Und auch wenn Wikileaks sich bislang halbwegs erfolgreich gegen solche Eingriffe zur Wehr setzt, wie würde es bei anderen Cloud-Usern aussehen? Sind die Abhängigkeiten wirklich kalkuliert und kontrollierbar?

Das BSI hat ein Eckpapier mit Mindestanforderungen für das Cloud-Computing veröffentlicht. Hier der direkte Link zum Eckpapier und hier zu einem Bericht des CIO-Magazins dazu.

Die „…for Dummies“-Buchreihe aus dem Wiley Verlag ist bisweilen pointiert und informativ. Die Qualität der einzelnen Beiträge ist mitunter etwas schwankend. Mit dem einen Band kann man mehr anfangen, mit dem anderen weniger. Von Excel-VBA war ich sehr angetan von Microsoft Access überhaupt nicht.

Neben der „normalen“ Buchreihe gibt es aber anscheinend auch einen Ableger für Corporate Publishing. Und man höre und staune: Qualiys (ein Anbieter von Security Lösungen) bietet einen Band „IT-Policy Compliance for Dummies“ als kostenloses ebook an.

Ein informativer Einstieg ins Thema mit knapp 70 Seiten in Layout und Aufbereitung der Dummy-Reihe. Natürlich beziehen sich die Fallbeispiele auf Qualys-Projekte und auch die eigenen Produktnamen werden platziert – das Ganze aber angenehm zurückhaltend, so dass trotz (legitimer) Eigenwerbung der Informationscharakter im Vordergrund steht.Ebenfalls von Qualis gibt es noch ein ebook „Vulnerability Management for Dummies„.

Und bereits im regulären Verlagsprogramm von Wiley finden sich die Titel wie:

– Sarbanes-Oxley For Dummies, 2nd Edition
– SAP GRC For Dummies

Die McKinseys Ian Finnemore, Greta Kim und Aditya Pande weisen darauf hin, dass regulatorische Bestimmungen (wie z.B. „processing of banking records, privacy rules, health care data oder security guidelines“) Grenzen für ein Offshoring setzen. Vielleicht tun sich die Kollegen von McK leichter bei dieser Feststellung als andere Kolegen, weil ihr Arbeitgeber kein Offshoring-Anbieter ist (#400). Mögliche Beschränkungen aus der Außenhandelsthematik werden leider auch hier nicht angeführt (#390).

Aufgrund dieser Restriktionen und einer differenzierten Betrachtung von Kosten und Personalressourcen bringen sie „Close-Shoring“-Lösungen ins Spiel: d.h. die Lösung bleibt im Land, wird aber von teuren Metropolen wegverlagert, z.B. von München nach Ostdeutschland.

Die Autoren attestieren: „successful companies are beginning to adopt a hybrid approach.“

Nachzulesen in McKinsey Quarterly.

Obwohl das gar nicht geplant war, entwickelt sich dieses Thema so langsam zu einer kleinen Serie auf schlossBlog. Über die juristischen Fallstricke war ja hier und hier schon die Rede.

Auffällig ist, wer sich mit dem Thema beschäftigt: Anscheinend nahezu ausschließlich die Anbieter von Outsourcing und Offshoring-Leistungen.

Im Umfeld der Forschungsarbeiten zum Thema etwa bei Prof. Amberg in Erlangen oder bei Prof. Strahringer von der TU Dresden finden sich Berater von Accenture, IBM oder Bain – aber wo sind die Vertreter der Kunden? Ist bei denen das Thema überhaupt schon angekommen? Bislang wohl nur in den wenigsten Fällen.

Ein grundlegendes Missverständnis liegt auch darin Outsourcing und Offshoring per se als erstrebenswert zu erachten. Eine Prüfung der Sourcing-Möglichkeiten muss selbstverständlich alle Optionen einschließen, aber eine Make-or-Buy-Entscheidung hat auch strategische Auswirkungen. Außerdem entstehen möglicherweise Einschränkungen und Abhängigkeiten, die ursprünglich gar nicht gewollt sind. Eine bestehende Applikation ist für ein neues Geschäftsfeld nicht nutzbar, weil die Daten im „falschen Land“ gehalten werden oder unter der „falschen Datenschutzrichtlinie“. Da wird dann die IT zum limitierenden Faktor für das Business.

Zugegebenermaßen: Ein weites Feld!

Dass nicht jeder das Gleiche unter Cloud Computing versteht berichtet die Computerwoche und berichtet über den Ansatz von Oracle. Bei Oracle sieht man Chancen vor allem im Bereich der Private Cloud. In einer Private Cloud bleiben vielleicht auch noch die hier schon angesprochenen juristischen Fallstricke halbwegs beherrschbar.

 Cloud-Computing wird obendrein auch das IT-Service Management verändern (wieder Computerwoche). Und wenn wir schon beim Juristischen sind, auch hier berichtet die Computerwoche über ein neues Portal zum Thema Global Sourcing.

Und noch einmal die Computerwoche: Offshoring in Deutschland: Die Inder sind da!

Und auf XING diskutieren Computerwoche-Leser, woran Offshoring-Projekte kranken.

Eigentlich bezieht sich Ken Withee auf Microsoft BI-Lösungen, aber seine „10 pitfalls“ gelten auch für andere BI-Lösungen:

▶ Getting drenched with the waterfall methodology
▶ Buying shelf-ware that just sits there
▶ Letting politics destroy your BI project
▶ Disregarding IT
▶ Snubbing power users
▶ Ignoring business processes
▶ Promising extravagant results
▶ Failing to include everyone in the BI solution
▶ Skimping on the BI basics
▶ Misusing consultants

aus Ken Withee, Microsoft Business Intelligence for Dummies, Hoboken NJ, 2010, S. 355