CIOs rebellieren gegen Compliance

Anschuetz will eine ganz neue Denkweise, die allerdings weit schwieriger ist als die gewohnte. Denn Regeln sind konkrete Vorgaben, an die man sich halten kann – Risiken zu managen, heißt, sich mit weit weniger Konkretem auseinander zu setzen. Es geht hier viel um Möglichkeiten und Wahrscheinlichkeiten.

Auf Unternehmen bezogen heißt das: Risk-Management beinhaltet nicht nur das Identifizieren und Analysieren möglicher Gefahren, sondern auch die Entwicklung möglicher Notfall-Maßnahmen. Das bezieht sich auf technologische Risiken, DatenschutzDatenschutz, kommerzielle und finanzielle Risiken und natürlich auf Compliance-Risiken. Alles zu Datenschutz auf CIO.de

Compliance als Papiertiger

Der UL-CIO führt ein Beispiel aus dem Bereich Datenschutz an. Ein Unternehmen mag alle Richtlinien festgeschrieben haben, aber so lange die Mitarbeiter im praktischen Umgang mit den Daten nicht geschult und keine adäquaten Prozesse dafür aufgesetzt sind, schützt sich die Firma nicht wirklich.

Anschuetz will nicht falsch verstanden werden. Er spricht sich nicht gegen Regularien aus – schon gar nicht vor dem Hintergrund der Strafen, die mit Compliance-Verstößen einher gehen können. Aber Papier ist geduldig, die Wirklichkeit nicht. Vom Kapitän der Titanic hätte er sich gewünscht, dass dieser spätestens vor der Jungfernfahrt des Luxus-Liners durch das Schiff gegangen wäre und sich alles genau angesehen hätte. Mit dem Blick auf mögliche Risiken hätte er das Unglück abwenden können.

Diesen Ansatz teilt Dan Abdul. Er arbeitet nicht in der freien Wirtschaft, sondern im Öffentlichen Dienst. Abdul ist CIO beim Minnesota Department of Veteran Affairs. Seine These: ein holistischer Blick auf Risiko-Management schließt Compliance ein. Auch Abdul priorisiert also Risk beziehunsweise Sicherheit.