IT-Management
So besteht man Betriebsprüfungen

IT-ManagementIT-ProjekteKarriereNetzwerk-ManagementNetzwerke

IT-Personal ist oft nicht geneigt, Verwaltungsaufgaben zu übernehmen und zu dokumentieren, wie sich Software-Systeme entwickeln. Unternehmen benötigen jedoch solche Aufzeichnungen, um Betriebsprüfer beim “Auditing” zu unterstützen und Gesetze zu erfüllen, meint Mark Street.

IT-Management

Sognannte “Audits”, oder deutsch gesagt einfach Betriebsprüfungen, sind in der IT-Welt eine Horrorvorstellung. Damit meine ich, dass sie dem Ethos von Technologen widersprechen, die sich als Freigeister sehen, die reine Systeme entwerfen, die Logik zelebrieren und Geschäftsabläufe transformieren.

“Da Software-Entwicklungsprojekte üblicherweise Budget und Deadline überschreiten, ist es nur natürlich, dass die Dokumentation häufig unter den Tisch fällt.”

Man kann fairerweise sagen, dass am Ende jedes Software-Entwicklungsprogramms die Dokumentierung des produzierten Codes das letzte ist, was getan wird. Da Software-Entwicklungsprojekte üblicherweise Budget und Deadline überschreiten, ist es nur natürlich, dass dieser Teil des Prozesses häufig unter den Tisch fällt. Wenn Dokumentationen erstellt werden, sind sie oft unentzifferbar, lückenhaft und bedeutungslos. Das erklärt die große Zahl von spezialangefertigten Anwendungen, die tatsächlich nicht mehr ausführbar und zu bedienen sind, wenn die ursprünglichen Entwickler das Unternehmen verlassen.

“Techies hassen es, zu dokumentieren, was sie getan haben”

Insgesamt hassen Techies es, das zu dokumentieren, was sie getan haben. Es sieht so aus, als lasse sich der logische und methodische Ansatz, der zum Schreiben von Code erforderlich ist, nicht auf die Dokumentation übertragen. Es ist so, als würde man Spaß daran haben, ein Puzzle zusammenzusetzen, dann aber keine Kopie davon zu machen, damit sich auch andere damit vergnügen können. Das gleiche gilt für andere Management-Probleme, die mit IT zusammenhängen. Das Tracken von Systemen, die Dokumentation der Architektur und das Nachzählen von Computern und Servern scheint alles so langweilig zu sein, wenn man es mit dem glückseligen Nirvana des Codierens und des Aufbaus von Systemen vergleicht.

Die Dokumentation in der IT ähnelt mehr der Buchhaltung als der Technologie. Angesichts des Trends zu mehr Gesetzen und Regelungen zur Reduzierung von operationalen Risiken werden die Probleme zunehmen, die durch armselige Dokumentation entstehen.

Ein Grund für IT-Betriebsprüfungen mit schlechtem Ergebnis sind mangelnde Fähigkeiten. Kompetente Betriebsprüfer wissen in der Regel wenig über die Feinheiten der IT, während hervorragende Technologen sich kaum mit Betriebsprüfungen auskennen. Das ist ein wichtiges fehlendes Verbindungsstück.

Networking zwischen IT und Betriebsprüfern
Die laxe Einstellung zu Betriebsprüfung muss allerdings ein Ende haben. Diejenigen IT-Direktoren, die noch keine passende Strategie zum Loggen von Systemen implementiert haben, sollten beginnen, sehr eng mit externen Betriebsprüfern zusammenzuarbeiten, um sicherzustellen, dass ihre Infrastruktur richtig erfasst wird.

Sie müssen auch die Prozesse überarbeiten, um sie so transparent zu machen, dass Betriebsprüfer ihre Listen einfach abhaken und Systeme schnell zulassen können. Das erfordert die häufigere Verwendung von Industriestandards wie des Sicherheitsstandards BS7799.

Dadurch wird es viel einfacher werden, diejenigen Gebiete zu identifizieren, die den Bestimmungen nicht entsprechen, und sicherzustellen, dass ein Unternehmen keinen unnötigen Risiken ausgesetzt wird. Wie die Analysten von Forrester unlängst in einer Forschungsnotiz mitgeteilt haben, ist die beste Beziehung zwischen IT und Betriebsprüfern die der Kooperation und nicht die der Spannung.

Forrester argumentiert richtig, dass das IT-Personal Betriebsprüfungen als Möglichkeit der Unterstützung bei der Analyse von Risiken und der Sicherstellung von verlässlichen Kontrollen sehen sollte und nicht als Schnüffeln, um Fehler zu finden.


“In zu vielen Fällen muss das IT-Personal als Sündenbock für Sicherheitspannen herhalten, die mit der Unternehmenskultur soviel zu tun haben wie mit IT.”

Das IT-Personal sollte bessere Beziehungen zu den Betriebsprüfern aufbauen und sie um Input bitten, wenn es darum geht, IT-Architektur, Policies, Verfahren und Standards zu definieren. Das ist auch eine gute Methode, Risiken zu verteilen – in zu vielen Fällen muss das IT-Personal als Sündenbock für Sicherheitspannen herhalten, die mit der Unternehmenskultur soviel zu tun haben wie mit IT.

Und wenn Sie wirklich sicherstellen wollen, dass die IT künftig diese kulturelle Lücke überbrückt, schlage ich vor, dass Ihr IT-Personal Rendezvous’ mit Buchhaltern verabredet. Dann warten Sie noch 20 Jahre oder so, und Sie werden die wunderbaren Resultate sehen.