Liebe Leser,
ich bin wieder auf dem Weg nach Frankfurt. Gestern fand der letzte Tag der Audit-Challenge statt. Heute findet ein Workshop der Audit Excellence Group statt. Diese Expertengruppe ist ein Teil der Arbeit des ARC-Institute, mit denen ich seit einiger Zeit im Kontext der Risikoprüfung im Kontext digital-analoger Unternehmensstrategien zusammenarbeite. Dabei geht es um die Entwicklung umfassender Prüfpläne für Unternehmen, die sich nicht nur mit IT-Fragen, sondern mit dem gesamten Themenkomplex der digitalen Transformation auseinandersetzen. Für die Profis: Das ganze ist natürlich angelehnt an COSO und wir arbeiten auch an einer Version mit/für COBIT. Im Kontext der Zusammenarbeit mit dem ARC-Institute habe ich das Konzept des digitalen Stresstest für Unternehmen entwickelt, welches wir bereits in Workshops präsentieren und welches zunehmend Anwendung findet.
In diesem Beitrag soll es aber weniger um meine Aktivitäten als vielmehr um die Erkenntnisse des gestrigen Tages gehen. An sich war es ein Tag voller interessanter Vorträge. Es ging um IT-Sicherheit, PEN-Tests und den Datenschutz. Diese und einige weitere Punkte wurden im Kontext der Revisionsarbeit besprochen. Auf der Tagung konnte ich gut sehen, was schon alles geprüft wird und wie diese Prüfungen umgesetzt werden. Problematischer, ja erschreckender war jedoch, was alles noch nicht geprüft wurde. Seitdem ich mich mit Risikomanagement, Revision und Compliance im Kontext der Digitalisierung auseinandersetze, bekomme ich einen sehr guten Einblick, in den aktuellen Stand der hier aktiven Bereiche. Und da ist noch sehr viel zu tun. Bis heute ist in den meisten Unternehmen der Ansatz einer digital-analogen Unternehmensstrategie nicht verstanden und/oder umgesetzt worden. Im Gegenteil: viele Themenbereiche tauchen gar nicht auf, andere werden aus der Logik des Analogen angegangen. Das Thema Datenschutz ist so ein Thema, bei dem ich gestern wirklich staunen musste. Die beiden Speaker zum Thema Datenschutz sprachen über die aktuelle Situation in Unternehmen und das war alles andere als erfreulich. Zum Einen fehlt es in den Unternehmen – nach Aussage der beiden Sprecher – an Kompetenz und zum Anderen an dem Willen, den Datenschutz als relevanten Bereich für die Zukunft des Unternehmens zu verstehen. Auch im Bereich der IT-Sicherheit, der Nutzung von Cloud-Diensten und der internen Software-Entwicklung besteht anscheinend massiver Nachholbedarf. Fairerweise muss man sagen, dass alle Sprecher darauf verwiesen, dass es weder eine 100%ige Sicherheit von Daten noch einen 100%igen Datenschutz geben wird.
Der gestrige Tag hat mich in meiner Sichtweise bestärkt, dass wir von einem Verständnis des Digitalen als Querschnittsfunktion des Managements noch immer sehr weit entfernt sind. Die Strategien zur Bewältigung der Risiken und Herausforderungen entspringen der Logik der analogen Welt. Dies ist übrigens auch ein Problem der Datenschützer, die sich letztlich auf Auflagen und Paragraphen zurückziehen und dann behaupten, sie würden doch nach machbaren Lösungen suchen. Aber eine Lösung im Kontext des Datenschutz kann meiner Meinung nach nur ein gesamtstrategischer Ansatz sein. Die Erhöhung von Bußgeldern klingt putzig – und wurde von den beiden Datenschützern als Lieblings-Tool definiert – aber es löst nur die Symptome der Krankheit. Auch die Aussage, es gäbe doch deutsche Entwickler, die längst sichere Betriebssysteme und Plattformen wie z.B. Messenger oder Community-Angebote entwickelt hätten, reicht hier nicht aus. Es mag ja sein, dass es theoretisch Alternativen zu Facebook und Co. gibt. Jedoch wer will diese Alternativen wirklich nutzen – außer ein paar Nerds? Und will ich mich mit Linux rumschlagen? Ich brauche ein Betriebssystem – kein Hobby. Von der nicht vorhandenen Kompatibilität z.B. von Office-Programmen ganz zu schweigen. Es gibt nun mal leider Gründe, warum deutsche Unternehmen/Angebote im Bereich der Online-Massenkommunuikation keine Rolle spielen.
Was bedeutet das? Wir müssen uns darüber im Klaren sein, dass wir im Bereich der digitalen Transformation unserer Gesellschaft noch immer am Anfang stehen. Viele Unternehmen haben vor allem das Problem, die digital-analoge Lebensrealität noch immer nicht verstanden zu haben. Dies führt dazu, das wesentliche Chancen und Risiken nicht erkannt werden. Und: so wie wir umfassenden digital-analoge Unternehmensstrategien benötigen, benötigen wir auch einen umfassenden und nachhaltige Prüfungsstrategie bei Revision und Risikomanagement. Es bleibt noch sehr viel zu tun.
Beste Grüße
Christoph Deeg