11. August 2020 von Andreas Fritz
Echte Transparenz lässt tief blicken
Eines der Hauptargumente für neue Sicherheitsmaßnahmen in Unternehmen ist eine höhere Transparenz. Für Führungskräfte ist es enorm wichtig, weil sie nur so bessere Entscheidungen treffen können. Dasselbe gilt für Wirtschaftsprüfer, die das Unternehmen besser beurteilen können. Und auch für die Gesellschaft ist Transparenz wichtig, weil sie damit die Geschäftspraktiken und Produkte einer Firma besser einschätzen kann.
Doch was bedeutet das im Unternehmensalltag konkret? Nur weil wir etwas auf der Oberfläche unserer Smartphones „sehen“, ist es noch lange nicht transparent. Wodurch kann ein klarer Durchblick Stück für Stück gewonnen werden?
Den Durchblick bei Risiken bewahren
Um Transparenz wirklich greifbar, ja sogar messbar zu machen, ist ein gemeinsames Verständnis davon notwendig. Besonders zwischen den einzelnen Unternehmensabteilungen, die sich mit dem Thema Sicherheit befassen, scheint es hier noch oft unterschiedliche Auffassungen zu geben. Leider verzerrt das am Ende das Bild über die aktuelle Sicherheitslage im Unternehmen.
Eine mögliche Definition: Transparenz bedeutet, dass jemandem ein tiefer Einblick in die Prozesse und gleichzeitig eine breite Übersicht über alle Bereiche möglich ist.
Wie sieht so etwas in der Praxis aus? In einem Risikomanagementsystem - etwa dem SAP GRC -werden die Organisation mit ihren einzelnen Prozessen und die Prozesse mit ihren möglichen Risiken abgebildet. So hat zum Beispiel die Abteilung der Finanzbuchhaltung den Prozess „Rechnung bezahlen“. Und dieser Prozess birgt das Risiko, dass eine Rechnung versehentlich doppelt bezahlt wird.
Der Finanzvorstand hat nun die Möglichkeit aus zwei verschiedenen Sichten auf die Situation zu blicken: Aus der Organisationssicht und aus der Risikosicht. Er kann einerseits schauen, welche Abteilungen derzeit die meisten finanziellen Risiken haben. Von der anderen Seite betrachtet kann er sehen, welche finanziellen Risiken derzeit am größten sind.
Die aktuelle Situation von mehreren Seiten zu betrachten, hilft ihm zu verstehen, ob er sich auf seine Zahlen im Jahresabschluss tatsächlich verlassen kann. Dabei bilden Prozesse das zentrale Bindeglied, um aus verschiedenen Sichten auf die Situation blicken zu können.
Ein solcher Durchblick verschafft Entscheidern also ein Risikobewusstsein. Erst das ermöglicht gezielte Analysen und eine Risikofrüherkennung. Und das beschleunigt: Denn je schneller mögliche Risiken erkannt sind, desto eher können effektive Sicherheitsmaßnahmen ergriffen werden. In unserem Beispiel der Rechnung, die doppelt bezahlt sein könnte, hilft eine einfache monatliche Kontrolle, die nach Duplikaten in der Zahlliste sucht.
Für Kapitalgesellschaften ist eine solche Transparenz sogar Pflicht, denn sie müssen ein internes Kontrollsystem (IKS) etablieren. Dort müssen die Prozesse und Prozessschritte wie „Rechnung bezahlen“ so klar definiert sein, dass ein außenstehender Prüfer beurteilen kann, inwieweit Mitarbeiterinnen und Mitarbeiter diesen Prozess auch einhalten.
KPI-Dashboards sinnvoll einsetzen
Dass sich Abteilungen durch mehr Transparenz besser steuern lassen, haben mittlerweile auch viele Führungskräfte erkannt. Darum steht immer wieder ein Thema sehr weit oben auf der Wunschliste: ein Dashboard. Am liebsten mit Kennzahlen (sogenannten KPIs) und vielen bunten Diagrammen.
Doch in der Praxis wird oft sehr viel Zeit und Geld in solche Dashboards gesteckt und nachdem sie fertig sind, werden sie kaum genutzt. Der gewünschte Durchblick kommt nicht zustande und die Sicherheit im eigenen Unternehmen hat sich dadurch um kein Stück verbessert. Wie lässt sich das vermeiden?
In der Regel werden Kennzahlen und Diagramme aus zwei Gründen zusammengestellt: Um Blockaden im Prozess zu lösen oder um die Leistung von Teams zu messen.
Ein Beispiel für solche Prozessblockaden ist der Antragsprozess für neue User in IT-Systemen. Wenn ein neuer User in einem Identity Management System beantragt wird, dann durchläuft dieser Antrag meist mehrere Stufen: Der Antrag wird eröffnet und liegt bei dem Vorgesetzten zur Genehmigung. Dann entscheidet er oder sie sich entweder dafür den Antrag abzulehnen oder zu genehmigen. Und im letzten Schritt wird der User im System zugewiesen.
Wird nun die Anzahl der Anträge in jedem Status gezählt und dargestellt, dann können mögliche Blockaden erkannt werden. Wenn beispielsweise zu viele Anträge bei den Vorgesetzten zur Bearbeitung liegen, dann gibt es vielleicht dort ein Problem mit der Bearbeitung. Oder wenn überdurchschnittlich viele Anträge abgelehnt werden, dann werden wahrscheinlich die Anträge fehlerhaft gestellt. Allenfalls helfen die Kennzahlen Sicherheitsprobleme zu identifizieren.
Damit solche KPIs tatsächlich ihren Zweck erfüllen und Blockaden im Prozess lösen, müssen bei der Konzeption zwei Fragen sehr konsequent beantwortet werden:
- Was sagt mir diese Kennzahl oder dieses Diagramm?
- Was mache ich im Anschluss mit der Information?
Wenn ich stattdessen eine Kennzahl als Steuerungselement nutzen möchte, dann ist die Unterscheidung zwischen Input und Output sehr wichtig. Sprich:
- Ist das tatsächlich ein Ergebnis der Teamarbeit oder nur eine abgearbeitete Aufgabe?
- Falls es ein Ergebnis der Arbeit ist: Ist das wirklich einer der wichtigen Faktoren für die Team-Leistung?
So ist es zum Beispiel ein Ergebnis der IT-Abteilung, die User mit besonders kritischen Berechtigungen in diesem Monat um fünf Benutzer zu reduzieren. Die vielen bearbeiteten Tickets, die für dieses Ergebnis notwendig waren, sind dabei nur zweitrangig. Wie solche KPIs in der Praxis aussehen können, zeigt das nachfolgende Schaubild.
Was tun bei bewusster Intransparenz?
Leider gibt es in vielen Unternehmen auch Managerinnen und Manager, die über Transparenz sprechen und dabei nur Lippenbekenntnisse abgeben. Bewusste Intransparenz durch Führungskräfte wird auch gerne als „Business Firewall“ bezeichnet, die nur die eigenen Interessen schützt.
Wenn sich eine solche Kultur etabliert hat, dann hilft im ersten Schritt nur eins: Angebote schaffen, um Sicherheitsprobleme anonym adressieren zu können. In vielen Organisationen gibt es bereits Möglichkeiten als Whistleblower auf Sicherheitsprobleme hinweisen zu können. Allerdings ist das ein zweischneidiges Schwert: Denn eine solche Möglichkeit darf nicht zum Denunzieren verleiten. Das würde einer sowieso bereits angeschlagenen Unternehmenskultur weiteren Schaden zufügen.
Auch hier gibt es neben der technischen Lösung in SAP GRC Process Control einige methodische Tipps, um die Einführung einer solchen Whistleblower-Stelle im Unternehmen zu erleichtern. Ihr möchtet mehr über spannende Themen aus der adesso-Welt erfahren? Dann werft auch einen Blick in unsere bisher erschienen Blog-Beiträge.