Pragmatismus geht vor

CIOs rebellieren gegen Compliance

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Compliance kontra Risiko-Management und Security – diese Diskussion beginnt unter US-amerikanischen CIOs. Ein Standpunkt lautet: Regularien sind Kosmetik, Sicherheit ist konkret.

Alarm an Bord: Christian Anschuetz wäre nicht gern auf der "Titanic" gewesen. Dabei war alles compliant auf dem alten Dampfer, wie der CIO und Senior Vice President des Zertifizierungs-Dienstleisters UL (Underwriters Laboratories) unserer US-Schwesterpublikation networkworld.com sagte. Die Zahl der Rettungsbote entsprach exakt der vorgeschriebenen Menge. Das Problem war eben, dass die Compliance-Verantwortlichen zu wenig Ahnung von der Sache hatten. Und so verloren mehr als 1.500 Menschen ihr Leben, obwohl die Vorschriften doch erfüllt waren.

Der Versuch, 100 Prozent compliant zu sein, ist sinnlos. Bevor Entscheider daran verzweifeln, sollten sie einen pragmatischen Weg des Risk-Management gehen, so US-amerikanische CIOs.
Der Versuch, 100 Prozent compliant zu sein, ist sinnlos. Bevor Entscheider daran verzweifeln, sollten sie einen pragmatischen Weg des Risk-Management gehen, so US-amerikanische CIOs.
Foto: Thomas Jansa - Fotolia.com

Diesen Vergleich zieht Anschuetz für die heutige Diskussion um gesetzliche und regulatorische Vorgaben heran. Der CIO spricht sich für klare Prioritäten aus. Im Spannungsfeld von Risk/Sicherheit einerseits und ComplianceCompliance andererseits ist ihm Ersteres deutlich wichtiger. Alles zu Compliance auf CIO.de

Mit der Parallele zur Titanic will Anschuetz deutlich machen, dass das Einhalten von Regularien ein trügerisches Sicherheitsempfinden bewirken kann. Daraus könnten neue Risiken entstehen. Er argumentiert, dass Regelwerke häufig nur einen Mindest-Standard erfüllen, da sie ja allgemeine Vorgaben erstellen. Das individuelle Unternehmen läuft Gefahr, darüber hinausgehende Risiken zu übersehen.

Anschuetz plädiert für eine Abkehr vom Compliance-Mindset und eine Entwicklung zu einer Denkweise des Risiko-Managements. Dass er damit keine offenen Türen einrennt, ist dem CIO klar: „Als Unternehmenslenker wie als gute Staatsbürger sind wir es gewohnt, uns an die Regeln zu halten. Aber Risiken zu managen?"

Zur Startseite