Compliance eats productivity for breakfast

Was wären wir doch bloß ohne Compliance? Viele würden sagen: deutlich produktiver. Was stimmen mag, aber Organisationen dann auch gerne mal aufs Glatteis führt. Schauen wir uns das doch mal genauer an.

Ich arbeite ja oft als Berater auf Prozess- und Strukturebene, also dort, wo Compliance und Security, Fachlichkeit und Technik zusammen kommen. Und mein Ziel ist dabei eigentlich immer, die Umstände so umzugestalten, dass die Effektivität (und oft auch Effizienz) steigen können, während der Frust gleichzeitig sinkt.

Das kann schnell hässlich werden, kann ich euch sagen. Denn hier treffen leider sehr unterschiedliche Perspektiven und Bedürfnisse aufeinander.

Compliance möchte, dass man sich an die Regeln hält, sodass im Zweifelsfall genau rekonstruiert werden kann, was wo passiert ist und wer dafür verantwortlich war. Und dass gesetzliche Vorgaben eingehalten werden. Das ist ein legitimes Ziel, denn gerade im juristischen Ernstfall wird es sonst schnell unangenehm.

Security möchte, dass alles sicher bleibt und nichts wegkommt. Informationen müssen zugreifbar bleiben und dürfen nicht in die falschen Hände geraten. Ansonsten steht im besten Fall der gute Ruf der Organisation auf dem Spiel und im schlimmsten Fall ist die Business Continuity nicht mehr gegeben.

Technik will, dass alles sauber läuft und der Wartungsaufwand so gering wie möglich ist. Je mehr Varianz die Technik bieten muss (weil jeder sein eigenes Süppchen kocht), desto aufwendiger wird das. Nicht selten auch mal exponentiell aufwendiger, weil viele Dinge in der Technik auch mal nicht so toll zusammen spielen.

Und die Menschen, die die operative Arbeit machen? Die wollen eben genau das: irgendwie ihre Arbeit machen können. Ohne dass es ständig hakt und gerne auch unter möglichst unkomplizierten Rahmenbedingungen – denn die Arbeit selbst ist meist schon kompliziert genug.

Im Idealfall sind diese Bedürfnisse alle gegeneinander austariert. Dann läuft es, und wenn mal irgendwo ein Schiefstand auftritt, dann lässt sich dieser gemeinsam aus der Welt schaffen. Die meisten Unternehmen scheitern aber daran, diesen Idealfall zu erreichen. Bekommt Compliance zu viel Gewicht, dann ersetzt bürokratischer Aufwand produktives Arbeiten. Das meiste läuft nur noch im Schneckentempo ab, vieles geht gar nicht. Und im Ernstfall (Kunde springt ab, Hacker greift an, Mülleimer brennt) fehlt es an der Reaktionszeit. Das klingt nicht nur langweilig und frustrierend, sondern auch teuer. Und das ist es auch.

Selbiges gilt, wenn Mitarbeitende IT-Systeme benutzen müssen, die nicht zu ihrer Arbeitsweise und ihren Arbeitsaufgaben passen. Oder wenn sie Sicherheitsmaßnahmen einhalten müssen, die ihre Arbeit faktisch unmöglich machen.

Die übliche Reaktion der Belegschaft? Entweder Resignation und damit ein stetiger Produktivitätsabfall (von Innovationen müssen wir gar nicht mehr sprechen) oder Rebellion in dem Sinne, dass man seinen Job am System vorbei macht. Auf Schatten-IT, ohne Sicherheitsnetz, und parallel zu den definierten Prozessen.

Das andere Extrem ist übrigens keinen Deut besser. Wenn nur die Produktivität im Fokus steht, dann führt das zu Chaos. Einerseits, weil vieles, was Menschen gerne als produktiv empfinden, das überhaupt nicht ist – oft ist individuelle Produktivität etwas, für das jemand anders teuer bezahlt (den Müll der anderen wegräumen müssen, ihr kennt das). Und manchmal ist es auch nicht mal das, sondern einfach nur Business (also nicht Bissness, sondern Büsihness) – Beschäftigungstherapie für Eichhörnchenpersonal, ohne Outcome, aber mit viel heißer Luft. Risiken werden hier nicht gemanaged, sondern ignoriert. Bis es knallt, und dann bleibt nur noch ein Krater übrig.

Geht das besser? Klar. Aber das alles sauber zusammenzubringen braucht eine Menge Kommunikation und auch einiges an Verständnis auf allen Seiten. Das bedeutet reden; und das bedeutet Verantwortung übernehmen. Wir müssen verstehen, welche Mehrwerte wir überhaupt erreichen wollen. Wir müssen die Wege (und damit die Prozesse) verstehen, die uns dahin führen. Wir brauchen die richtige Technik, um Mitarbeitende beim Durchlaufen dieser Prozesse bestmöglich zu unterstützen. Wir brauchen die Sicherheit, dass in den Prozessen nur die Daten verarbeitet werden, die dafür auch notwendig sind, aber diese müssen alle problemlos zur Verfügung stehen. Und natürlich will dabei auch der gesetzliche Rahmen eingehalten werden – aber eben nicht mit der Holzhammermethode, sondern mit einem Blick auf das jeweilige Ziel und den Weg dorthin.

Machbar ist das nur, wenn alle Beteiligten ihre Elfenbeintürme verlassen, und das „müssen wir machen, weil vorgeschrieben“ gleichberechtigt neben das „müssen wir machen, damit der Laden läuft“ und damit neben „müssen wir machen, damit andere vernünftig arbeiten können“ stellen. Das mag gerade für losgelöste Stabsstellen und interne Dienstleister anstrengend erscheinen (und für Abteilungsleitungen im operativen Bereich genauso). Aber das ist euer verdammter Job – jeder von euch ist dafür verantwortlich, dass anderen weniger Hindernisse in den Weg gelegt werden. Ihr habt keine Machtposition inne, ihr habt Verantwortung dafür, dass der Laden läuft und nicht in der wirtschaftlichen Katastrophe endet oder ohne Ende das Geld der Steuerzahlenden verbrennt.