Die Begriffe „Agilität“ und „Compliance“ stehen in der Wahrnehmung vieler für Zielsetzungen, die schwer miteinander vereinbar erscheinen. Doch ist diese Wahrnehmung nur durch Vorurteile oder erlebte Herausforderungen geprägt oder handelt es sich hier am Ende doch um prinzipiell widerstreitende Disziplinen?
In einem agilen Umfeld bestehen dieselben Herausforderungen für die Einhaltung von Compliance-Anforderungen wie bei einer traditionellen Arbeitsweise:
-
Genaue Kenntnis über einzuhaltende Vorgaben
-
Sachgerechte Umsetzung der Vorgaben in der Organisation und in Prozessen
-
Nachweis und nachhaltige Sicherung der Einhaltung der Vorgaben
Bereits bei traditioneller Arbeitsweise gelingt es Organisationen oftmals nur mit Mühen, diese Anforderungen zu erfüllen. Umso herausfordernder wird dieses in einem agilen Umfeld.
Hier gilt: Wer bei traditioneller Arbeitsweise schon nennenswerte Compliance-Defizite aufweist, wird bei einer Transformation hin zu einer agilen Arbeitsweise ohne Durchlaufen eines Lern- und Veränderungsprozesses nie seine Compliance-Ziele erreichen.
Als Ermutigung für alle, die sich auf den Weg machen wollen, beziehungsweise das Ziel noch nicht erreicht haben, hier der Hinweis: An den kritischen Erfolgsfaktoren für die Sicherstellung einer Compliance in einem agilen Umfeld ändert sich nichts. Es geht vielmehr darum, mit den relevantesten Erfolgsfaktoren für ein spezifisches Umfeld richtig umzugehen.
| Preview | Product | Price | |
|---|---|---|---|
|
Golkcurx Rolling Laptop Bag with Wheels, Removable Water-Repellent Rolling Briefcase for Women and... |
$71.99 |
Buy on Amazon |
| Preview | Product | Price | |
|---|---|---|---|
|
CozyBerry® Querencia™ Candle Warmer, Compatible with Yankee Candle Large Jar, Metal, Candle Lamp,... |
$34.99 |
Buy on Amazon |
Entscheidend für die Zielerreichung ist der richtige methodische Einstieg in den bevorstehenden Transformationsprozess. Hierbei muss für den Fokus auf Compliance-Aspekte keine extra Methodik bemüht werden. Aktivitäten folgen vielmehr erprobten Ansätzen zur Gestaltung einer agilen Transformation. Compliance Management sollte hier also nicht als isoliert agierende Disziplin aufgefasst werden, sondern ist als integraler Bestandteil des Managements einer agilen Organisation zu sehen.
Erfolgsfaktoren innerhalb der Dimensionen einer agilen Transformation.
Foto: BearingPoint
Die Dimensionen Methoden, Technologie, Produkte, Prozesse, Kultur und Struktur sind Gegenstand von spezifischen Beratungsansätzen zur agilen Transformation. Innerhalb der Dimensionen bestehen eine Reihe von Erfolgsfaktoren, die in unterschiedlichem Maße für ein nachhaltiges Compliance Management einer agilen Organisation von Bedeutung sind.
Ein Ausschnitt der vorstehend genannten Erfolgsfaktoren soll beispielhaft für den Bereich IT Service Entwicklung und Betrieb erläutert werden:
Bei einer kurzzyklischen Gestaltung von Prozessen, wie bei DevSecOps, ist es wichtig, dass das Know-how sowie die Kompetenz bei den Beteiligten in ausreichendem Umfang vorhanden sind. Damit lassen sich zusätzliche Prüfungsprozesse oder Prozessabschnitte durch einen Wechsel von Team zu Team bzw. Rolle zu Rolle, die den Prozess zugleich verkomplizieren und verlangsamen, einsparen. Wichtige Erfolgsfaktoren sind damit:
-
Zielgruppenorientierte Aufbereitung der Grundprinzipien zur Erreichung von IT Compliance (IT Compliance ist alles andere als eine Raketenwissenschaft!)
-
Weiterbildung in den DevSecOps Teams zur Erlangung von Know-how und Befähigung zur Kompetenz
-
Integration von IT Sec/Compliance/Governance-Ressourcen in die DevSecOps-Teams
Hier kommt ein Ansatz ins Spiel, der zum “Meistern der Kür” unverzichtbar erscheint: die Kontrollverdichtung. Das Prinzip dieses Ansatzes verdeutlicht die nachfolgende Darstellung. Von typischerweise mehr als 500 Anforderungen unterschiedlicher Herkunft, die prinzipiell auch eine entsprechende Anzahl von IT-Kontrollen erfordern würden, gelingt toolgestützt eine Verdichtung auf 60 IT-Kontrollen. So reicht beispielsweise für die drei Anforderungen zum Thema “Kontrolliertes Änderungsmanagement”, die in EU-DSGVO, ISO 2700 und ITIL mit faktisch identischem Kontrollziel formuliert sind, eine Kontrolle, die alle drei Anforderungen zugleich befriedigt.
| Preview | Product | Price | |
|---|---|---|---|
|
Kodak Ultra Mini Portable Projector - HD 1080p support LED DLP Rechargeable Pico Projector - 100"... |
$179.99 |
Buy on Amazon |
| Preview | Product | Price | |
|---|---|---|---|
|
Nintendo Switch™ with Neon Blue and Neon Red Joy‑Con™ |
$299.99 |
Buy on Amazon |
Beispielhafte Verdichtung von Kontrollen.
Foto: BearingPoint in Anlehnung an „Gaulke, Markus (2020), Praxiswissen COBIT”
Zur gleichzeitigen Erfüllung von Zielen der Agilität und der Compliance sind Vorgehensweisen sowie Werkzeuge vorhanden, die den Weg zum Ziel beherrschbar und für alle Stakeholder verständlich machen. Hervorzuheben sei hier der Paradigmenwechsel, der sich hierfür in den Organisationen vollziehen muss: In einer agilen Organisation ist die kontinuierliche Mitberücksichtigung von Compliance-Aspekten in allen Prozessen Teil der Unternehmens-DNA und erfordert dazu je nach Ausgangslage einen Veränderungsprozess, der Compliance Management vermehrt in die Rollenbeschreibung aller Mitarbeitenden eingehen lässt. (mb)