23. Januar 2020 von Andreas Fritz
Kontrolle ist gut, Vertrauen ist besser?!
Jeder, der im Sicherheits- oder Revisionsumfeld unterwegs ist, kennt das Dilemma: Natürlich vertrauen wir unseren Mitarbeitenden sowie Kolleginnen und Kollegen. Selbstverständlich! Doch wenn wir die Berechtigungen ebendieser Kolleginnen und Kollegen einschränken oder permanent Kontrollen bei ihnen durchführen, entsteht schnell Misstrauen.
Das wiederum erzeugt Ablehnung gegenüber vielen Sicherheitsmaßnahmen bei den betroffenen Personen. Eine Compliance-Kultur im Unternehmen kann so auch ins Negative kippen. Ist ein System wie SAP Governance, Risk & Compliance in diesem Zusammenhang also wirklich förderlich? Oder nur ein Werkzeug für Kontrollettis?
Verantwortung, nein danke
Damit Kontrollen tatsächlich auch als Mehrwert wahrgenommen werden, ist es wichtig, vorher den Zweck der Kontrolle und das Risiko klar zu definieren. Ansonsten kontrollieren wir um des Kontrollierens willen.
Risiko = Eintrittswahrscheinlichkeit x Auswirkung
Während das Definieren eines Risikos in den meisten Unternehmen keine große Hürde mehr darstellt, ist alles, was darauf folgt, eine erhebliche Anstrengung. Das Risikobewusstsein von Mitarbeitenden in Unternehmen ist, laut Umfragen, in den letzten Jahren gestiegen. Dafür kämpfen alle Unternehmen - je größer sie sind - mit einem sinkenden Verantwortungsgefühl. Diese Herausforderung ist aber leider eine strukturelle. Dabei verhält es sich analog zum Trittbrettfahrerproblem: Ist ein Teamergebnis messbar, aber nicht die Leistung jedes Einzelnen, so gibt es immer wieder Trittbrettfahrer. Sie ruhen sich auf dem Erfolg des Teams aus, ohne selber viel beizutragen.
Wenn also in einer Organisation Risiken benannt werden und neu auftreten, werden diese eine ganze Weile lang von Bereich zu Bereich geschoben. Letztendlich fallen dann Aussagen wie „Das war doch bisher auch kein Problem.“ oder „Das muss die IT lösen.“. Erstmal fühlt sich dafür keiner verantwortlich.
Die Risikotoleranz ist im Kollektiv scheinbar höher, als bei Individuen. Damit sinkt leider auch das Verantwortungsgefühl. Im Englischen wird klarer, was das bedeutet: „Responsability, the ability to give a response“. Mit anderen Worten: Das Unternehmen als Kollektiv wird also unfähiger, passende Antworten auf Sicherheitsfragen zu liefern - außer Abteilungsleiter und Führungskräfte steuern proaktiv dagegen.
Selbstwirksamkeit der Mitarbeitenden stärken
Damit das Verantwortungsgefühl bei jedem Einzelnen wieder steigt, bedarf es vor allem dem Gefühl, dass die eigene Arbeit einen Unterschied macht - „Was ich gerade tue, hat eine Wirkung.“
Ein solches Gefühl der Selbstwirksamkeit stellt sich dann ein, wenn der einzelne Mitarbeitende immer wieder die Erfahrung macht, etwas selber erreicht zu haben. Dazu kommt die Bestätigung aus dem Umfeld: Der Einzelne sieht, wie seine Kolleginnen und Kollegen ihre Vorhaben erfolgreich umsetzen und diese ermutigen ihn dazu, es ihnen gleich zu tun.
Übertragen auf das Sicherheitsumfeld in Unternehmen heißt das: Jeder Beschäftigte muss beispielsweise die Möglichkeit haben, für eine neue Kollegin oder einen neuen Kollegen einen Benutzer in den IT-Systemen zu beantragen oder sein eigenes Passwort zurücksetzen zu können. Gibt es lange Formulare, zu komplexe Beantragungsprozesse oder muss jemand mindestens eine Woche auf seinen Zugang warten? Falls ja, dann sinken Selbstwirksamkeit und Verantwortungsgefühl gleichermaßen.
Aus diesem Grund gibt es Self-Service-Systeme - etwa das SAP GRC. Hier kann jeder Mitarbeitende im Unternehmen sich selbst „bedienen“, indem er eigenständig Anträge stellt oder eine Passwortrücksetzung für sich selbst startet. Sogar im Notfall können Kolleginnen und Kollegen schnell an erweiterte Berechtigungen kommen, ohne den Chef spät abends anrufen zu müssen.
Der positive Nebeneffekt: Mitarbeiterinnen und Mitarbeiter haben nicht nur ein höheres Verantwortungsgefühl, sondern die IT-Abteilung wird auch enorm entlastet. Hier wird der Kommunikationsaufwand erheblich gesenkt, jeder kann seine Zugänge eigenständig steuern, es werden keine anderen Ressourcen blockiert und alle Beteiligten bleiben handlungsfähig.
Klare Verantwortlichkeiten etablieren
Es gibt einen weiteren Umstand, der dafür sorgt, dass das individuelle Verantwortungsgefühl schwindet: Klare Verantwortlichkeiten werden zu selten festgelegt. Ein Beispiel aus der Praxis: Der Risikomanager im Unternehmen identifiziert neue Risiken in der Einkaufsabteilung. Er spricht mit dem Einkaufsleiter, doch dieser hat im Moment andere Projekte auf dem Schirm. Für die Risiken hat er keine Zeit. Und wieso sollte das jetzt kritisch sein? Bisher ist doch auch nichts passiert. Da die Risiken aber weiterhin für das Unternehmen bestehen, eskaliert der Risikomanager das Thema an seine Vorgesetzten. Der Einkaufsleiter tut dies ebenfalls. Schließlich besteht er darauf, seine eigenen und wichtigen Projekte abschließen zu können.
Nun ist es oft so, dass die Unternehmensleitung sich zu dem Thema berät, aber keine klare Entscheidung trifft. Stattdessen wird das Thema wieder an die Mitarbeitenden delegiert. Das folgt dem Schema „Wir könnten, sollten, müssten mal …“. Und so wird die Behebung der Risiken auf das nächste oder übernächste Jahr verschoben.
Dieses Beispiel zeigt, dass der Einkaufsleiter sich nicht wirklich für das Risiko verantwortlich fühlt, obwohl es seine Abteilung betrifft. Denn zuständig für das Risiko ist jemand anderes: der Risikomanager. Dieser muss die Risiken identifizieren, ansprechen und für ihre Reduzierung sorgen. Allerdings ist der Einkaufsleiter die einzige Person, die diese Risiken im Einkaufsbereich wirklich beseitigen kann.
Solche geteilten Verantwortlichkeiten sind in Unternehmen häufig anzutreffen und sorgen für viel Konfliktpotenzial und Frust. Ein ständiges Eskalieren von Konflikten bringt allerdings auf Dauer nichts. Vielmehr muss der Druck zu handeln effektiv verteilt werden.
Auch hier kommt wieder der Self-Service-Gedanke des GRC-Systems ins Spiel. Für die einzelnen Risiken oder Kontrollen müssen eindeutige Verantwortliche festgelegt werden. Ein allgemeiner Risikomanager kann im Unternehmen deshalb nur die Regelwerke oder die Prozesse für den Umgang mit den Risiken vorgeben. Inhaltlich verantwortlich für ihre Risiken sind und bleiben die einzelnen Abteilungsleiter. Sie können sich an den Prozessen und Regelwerken im GRC-System bedienen und für sich nutzen.
Die paradoxe Kontrolle
Es gibt ein markantes Beispiel, das ein Zusammenspiel zwischen Kontrolle und Vertrauen sehr gut beschreibt: Eine große Hotelkette ermächtigt jeden Beschäftigten, bei Bedarf 2000 Dollar pro Vorfall pro Gast auszugeben - etwa für eine besondere Geburtstagsüberraschung oder für eine Entschädigung. Ohne vorherige Absprache oder Genehmigung.
Anstatt sich jeden Betrag über 20 Dollar genehmigen lassen zu müssen, wie bislang es der Fall war, wurde hier die Messlatte deutlich höher gelegt. Diese Ermächtigung führte bei den Mitarbeiterinnen und Mitarbeitern zu einem sehr hohen Gefühl des Vertrauens und entlastet zudem die Manager deutlich.
Der nachträgliche Blick auf die Zahlen zeigt: Im Schnitt geben die Angestellten nicht 2000 Dollar, sondern deutlich weniger aus und verschaffen den Gästen so ganz besondere Erlebnisse.
Führen heißt in diesem Kontext, die Ergebnisse zu kontrollieren und nicht die Arbeit.
Für das Sicherheitsumfeld in Unternehmen bedeutet es, dass Vertrauen viel stärker wirkt, als Kontrolle. Allerdings heißt es auch, dass Unternehmen oder Führungskräfte nicht frei von jeder Kontrollpflicht sind. Die Kontrolle kann, wie in dem Beispiel, nachträglich erfolgen oder stichprobenartig. Und auch hierbei unterstützen Systeme (etwa das SAP GRC Process Control), indem Kontrollen automatisch durchgeführt werden.
Weitere Informationen dazu und zu weiteren Themen im SAP-Security-Umfeld gibt es auf unserer Webseite.