»Rezepte für erfolgreiche IT-Projekte«
»Rezepte für erfolgreiche IT-Projekte« Viele gute IT-Projekte scheitern, weil sie keinen organisatorischen Kontext haben. Jürgen Höfling sprach mit Dr. Bruno Wildhaber, Gründer und Vorstandsmitglied von Forte Advisors, über die optimale Verzahnung von IT und Geschäftsprozessen.
- »Rezepte für erfolgreiche IT-Projekte«
- Herr Dr. Wildhaber, vielen Dank für das Gespräch!
Herr Dr. Wildhaber, GRC, was für Governance, Risk Management und Compliance steht, ist nicht in aller, aber doch in vieler Munde. Was bringt GRC für ein Unternehmen? Gibt es da einen Business Case?
Nein, es ist unsinnig, das Thema als Business Case aufzuziehen, GRC ist ja eine Antwort auf gesetzliche und innerbetriebliche Vorgaben. Auf solche Vorgaben sollte aber intelligent reagiert werden, mit anderen Worten, die Schlagkraft eines Unternehmens sollte durch GRC-Maßnahmen erhöht werden, um die wirklichen Business Cases erfolgreicher gestalten zu können.
Welches sind solche GRC-Maßnahmen?
Die IT muss erstens strategisch abgestimmt sein, sie muss zweitens einen Wertbeitrag für das Geschäft liefern, drittens ist sie hinsichtlich der Risiken zu optimieren und schlussendlich sind die Vorgaben so zu fassen, dass man sie messen kann.
Nun sind nicht alle Vorgaben unmittelbar gesetzlich veranlasst. Könnte man da eine Unterteilung treffen, zum einen in Pflicht-Aufgaben, also das Erfüllen der Gesetze, und dann Küraufgaben, also Vorgaben, die man sich zur Not auch sparen kann?
Das erscheint mir als Strategie ziemlich schwammig. Wer definiert denn, was Pflicht oder Kür ist? Letztlich wird ja kein Unternehmen einen Kontrollprozess aufsetzen, der nicht direkt oder indirekt mit gesetzlichen Pflichten zu tun hat oder andererseits Vorteile bei den operativen Geschäften bringt. Letzteres betrifft beispielsweise ein automatisiertes Records Management. Kosten sparen könnte man aber in der Tat, wenn gesetzliche Forderungen nicht von der Revision gigantisch aufgebläht würden!
Was meinen Sie damit genau?
Ein gutes Beispiel ist SOX. Im Gesetzestext stehen eigentlich schlichte Dinge, aber schauen Sie sich einen mal an, welchen Moloch die Revisionsleute daraus gemacht haben.
Das, was Sie über Records Management gesagt haben, ist interessant, können Sie das näher erklären? Da scheint mir GRC durchaus Kontakt mit Business Cases zu haben.
Records Management ist ganz wichtig, um die Personengebundenheit von Prozessen abzuschaffen oder wenigstens zu mildern. Die Prozesse in den Unternehmen sollten eben nicht oder nicht entscheidend von der Expertise einiger weniger Koryphäen im Unternehmen abhängen.
Gibt es so etwas wie einen Modellbaukasten für GRC, also das, was man »Best Practices« nennt?
Ein solcher Ansatz funktioniert meiner Ansicht nicht bei GRC, oder höchstens bis auf ein Niveau, wo man Dinge wie grobe Fahrlässigkeit ausschließen will. Und das tut man hoffentlich schon auf einer Grundlagen-Ebene. Alles andere ist sehr unternehmensindividuell, kann jedenfalls nicht in eine Schablone gepresst werden.
