Ernst, ähm, compliant sein ist alles

  • Published

Oder warum Governance entscheidend ist, um den Wert von Automatisierungen zu erfassen. Mit praktischen Tipps zur Einrichtung eines guten Governance-Frameworks.

Corporate Governance ist ein sperriges Wort, das bei mir Assoziationen von stapelweise Papierkram und ein bisschen Angst vor Strafen bei Nichteinhaltung hervorruft…und mir immer als etwas Kompliziertes und leicht Mystisches vorkam.

In diesem Blogbeitrag möchte ich das Thema entmystifizieren und zeigen, wie wichtig und wertvoll gute Governance sein kann – insbesondere im Zusammenhang mit IT-Automatisierung. Außerdem gebe ich einige praktische Tipps, wie Sie Governance in der Praxis umsetzen können.

Was ist Governance?

Unter Corporate Governance versteht man die Gesamtheit der Prozesse und Regeln, die in einem Unternehmen vorhanden sind.

Ihr Zweck ist es, Konsistenz zu gewährleisten und Risiken zu verringern. Wenn beispielsweise eine komplexe Serversoftware aktualisiert wird, gibt es oft eine Update-Checkliste, in der alle für die Aktualisierung erforderlichen Schritte beschrieben sind. Sie hilft der Person, die die Aktualisierung vornimmt, zu verstehen, wie sie durchzuführen ist. Außerdem stellt sie sicher, dass nichts vergessen wird. Diese Checkliste ist Teil der Governance des Unternehmens.

Mehr im Glossar darüber lesen: Governance

Governance und Automatisierung

Im Wesentlichen geht es bei Governance um das reibungslose Funktionieren einer Organisation zu gewährleisten.

In Bezug auf die Automatisierung bedeutet dies, dafür zu sorgen, dass Prozesse mit hoher Qualität automatisiert werden – damit sich das Unternehmen darauf verlassen kann, dass sie funktionieren. Es bedeutet auch, dass es Fallback-Prozesse gibt, falls eine Automatisierung fehlschlägt und der Ausfall einer Automatisierung bemerkt wird sowie darauf reagiert werden kann.

In der Praxis heißt das: Es werden Best-Practice-Regeln aufgestellt und durchgesetzt. Diese stellen sicher, dass die Automatisierung von hoher Qualität, prüfbar, robust, sicher, dokumentiert und überwacht ist und dass Fallbacks vorhanden sind.

Was ist gute Governance?

Ein gutes Governance-Modell zeichnet sich durch ein ausgewogenes Verhältnis zwischen Aufwand und Ergebnis aus. 

Der Aufwand für Governance kann schnell außer Kontrolle geraten, wenn bspw. für die Automatisierung von sehr kleinen und unkritischen Prozessen eine umfangreiche Dokumentation erforderlich ist. Das macht die Automatisierung für viele Anwendungsfälle undurchführbar.

Wenn aber jede Person in einem großen Unternehmen die Möglichkeit hat, alles zu automatisieren, ohne Transparenz, ohne Regeln für die Wartung und ohne, dass es Pläne gibt, was bei einem Fehler der Automatisierung passiert, ist zwar der Aufwand für Governance niedrig, aber es besteht ein hohes Risiko für das Unternehmen.

Dieses Gleichgewicht zwischen dem Aufwand für Governance und dem Risiko, das sie mindert, ist von wesentlicher Bedeutung. Ziel der Governance ist es, Risiken zu minimieren. Daher ist das Risiko der Maßstab bei der Entscheidung über Governance-Regeln und -Prozesse.

Der Richtwert: Risiko

Risiko” setzt sich aus zwei Faktoren zusammen:

  • Die Wahrscheinlichkeit eines Fehlers
  • Die Folgen eines Fehlers

Beispielsweise ist die Wahrscheinlichkeit, dass die gesamte AWS-Cloud-Infrastruktur für mehrere Tage nicht verfügbar ist, sehr gering. Aber die Folgen wären massiv. Über das daraus resultierende Risiko nachzudenken, ist deshalb wahrscheinlich sinnvoll.

Es gibt sicherlich eine große Anzahl von Regeln und Prozessen, die sicherstellen, dass Änderungen an den technischen Grundlagen der AWS-Cloud nicht zu einem massiven Ausfall führen – in diesem Fall sind hohe Investitionen in die Governance vernünftig.

Andererseits ist die Wahrscheinlichkeit, dass eine in Excel erstellte Formatierung der Stundenzeiten ausfällt, ziemlich hoch. Die Folgen sind aber gering: Die Person muss ihre Zeiterfassung einfach manuell formatieren. Die Einführung von Governance-Regeln für die Automatisierung der Formatierung von Arbeitszeit-Sheets wäre daher unsinnig.

Der wichtigste Teil eines jeden Governance-Rahmens ist derjenige, der das Risiko bewertet.

Wenn die Risikobewertung ungenau ist oder – wie es oft der Fall ist – nicht stattfindet, dann ist es wahrscheinlich, dass die Ad-hoc-Governance Bereiche überreguliert, in denen in der Vergangenheit etwas schief gelaufen ist (z. B. fehlgeschlagene Aktualisierungen bei einem Kunden) und im Gegenzug Bereiche nicht reguliert, die risikoreich sind, nur weil noch nichts passiert ist (z. B. gehackt zu werden).

Auf Grundlage der Risikobewertung sollten strengere oder weniger strenge Regeln durchgesetzt werden. Auch in ein und demselben Bereich müssen nicht für alle Prozesse die gleichen Regeln gelten. Was heißt das?

Governance in der IT-Automatisierung

Die IT-Automatisierung ist dafür ein gutes Beispiel. Es gibt einige Regeln, die sich auf das unternehmensweite Risiko beziehen und die jeder automatisierte Prozess befolgen sollte: z. B. sollten sensible Daten das Netzwerk des Unternehmens nicht verlassen oder eine Zwei-Faktor-Authentifizierung sollte für alle Anwendungen verwendet werden, in denen sensible Daten gespeichert sind.

Es gibt aber viele Regeln, die nur für kritische Prozesse sinnvoll sind. So muss beispielsweise die Automatisierung von Kernprozessen eines Unternehmens in einem hochverfügbaren System implementiert werden. Alle Änderungen an solchen kritischen Prozessen müssen vor ihrer Implementierung geprüft werden.

Gute Governance macht Dinge einfacher

Wenn Sie wie ich sind, seufzen Sie vielleicht, wenn Sie von Governance hören. Warum? Weil Sie an Fälle denken, in denen Sie endlose Governance-Berichte ausfüllen oder eine Menge Unterlagen schreiben mussten, die nie jemand gelesen hat, oder andere scheinbar unsinnige Hürden überwinden mussten, die nur dazu da waren, Ihnen das Leben schwer zu machen.

Gute Governance sollte eben nicht so sein. Gute Governance sollte sich auf die Bereiche konzentrieren, in denen ein hohes Risiko besteht und erklären, warum die aufgestellten Regeln wichtig sind. Kaum jemand wird bestreiten, dass es wichtig ist, in hochsensiblen Bereichen besonders vorsichtig zu sein.

Wie macht gute Governance die Dinge einfacher?

Indem sie hilfreiche Informationen bereitstellt und Menschen beruhigt.

Die oben erwähnte Update-Checkliste ist ein Beispiel für gute Governance: Wer auch immer sie benutzt, wird dankbar sein, dass es eine solche Liste gibt. Sie erleichtert die Aktualisierung und gibt der damit beauftragten Person die Gewissheit, an alles gedacht zu haben.

Praktische Tipps für die Umsetzung von Good Governance in der IT-Automatisierung

Für die IT-Automatisierung bedeutet dies, dass alle zu automatisierenden Prozesse zunächst auf ihr Risiko hin bewertet werden sollten.

Idealerweise kann dies mit einem sehr kurzen Fragebogen passieren, den die Person, die diesen Prozess automatisieren möchte, ausfüllen sollte. Idealerweise sollte der Fragebogen:

  • etwa 5 Fragen enthalten, idealerweise mit überwiegend Multiple-Choice-Fragen,
  • sollte weniger als 5 Minuten zum Ausfüllen benötigen und
  • die Person, die ihn ausfüllt, sollte sofort eine Rückmeldung über die nächsten Schritte erhalten.

Eine Beispielfrage in einem solchen Fragebogen wäre: „Wer ist von der Automatisierung dieses Prozesses betroffen?“ Mit Multiple-Choice-Antworten, die von „nur ich selbst“ bis „die gesamte Organisation“ reichen. In Kombination mit ein paar anderen einfachen Fragen kann eine grobe Abschätzung von Risiko und Nutzen in wenigen Minuten von der Person selbst vorgenommen werden.

Am Ende des Fragebogens sollte die Person sofort Feedback erhalten. Wenn beispielsweise das bewertete Risiko sehr gering und der Nutzen mittelmäßig ist, könnte die Rückmeldung in einem großen grünen Fenster angezeigt werden, in dem steht:

 „Herzlichen Glückwunsch, Sie haben einen großartigen Kandidaten für eine Automatisierung identifiziert“ 

mit zusätzlichen Informationen über den maximalen Aufwand, der in die Automatisierung investiert werden sollte, welche Regeln befolgt werden sollten, welche Tools verwendet werden könnten und ob jemand anderes informiert werden sollte.

Wenn Sie fünf Minuten in diese Umfrage investieren, können Mitarbeiter_innen im gesamten Unternehmen ihre Automatisierungsidee testen. 

Eine solche Umfrage ist auch für die Kommunikation innerhalb eines Unternehmens von großem Nutzen: Eine Person, die die Umfrage ausfüllt, muss über die damit verbundenen Risiken und Vorteile nachdenken und wird viel besser verstehen, wenn die Umfrage zeigt, dass eine Automatisierung möglicherweise keine gute Idee ist. Das ist viel besser, als ein einfaches „Nein“ von einer anderen Person. 

Zusätzlich kann sie einer Person, die einen einfachen Prozess für sich selbst schnell automatisieren möchte, Sicherheit geben. Und, was am wichtigsten ist, die Umfrage ermöglicht es dem Management sicherzustellen, dass die Risiken der Automatisierung mit vertretbarem Aufwand vernünftig gehandhabt werden.

Zusammenfassung

  • Governance beschreibt Regeln und Prozesse, die dafür sorgen, dass eine Organisation reibungslos funktioniert.
  • Ein zentraler Aspekt der Governance ist das Risiko. Daher basiert ein guter Governance-Rahmen auf einer Risikobewertung.
  • Je nach Höhe des Risikos sollten mehr oder weniger strenge Regeln angewandt werden.
  • Ein zweiter Vorteil eines guten Governance-Rahmens besteht darin, dass er die Menschen beruhigt und hilfreiche Informationen liefert.
  • Wenn Mitarbeiter_innen im gesamten Unternehmen in die Lage versetzt werden, Risiken selbst schnell zu bewerten, verringert dies die Kosten für
  • Governance, macht sie zugänglich und verbessert die Einhaltung der Vorschriften.
  • Eine einfache Möglichkeit hierfür sind kurze Risiko-Nutzen-Fragebögen.

Jetzt den Cloudomation-Newsletter abonnieren

Werden Sie Cloudomation-Insider. Immer am Ende des Monats neue News zum Thema „Remote Development Environments“ und „DevOps“ erhalten. 




    Margot Mückstein

    CEO & co-founder von Cloudomation