Mehr Cloud erfordert auch mehr IT-Governance

Governance, Risk und Compliance

Keine Frage - auch im eigenen Rechenzentrum drohen Gefahren, und nicht jeder Angestellte arbeitet sorgfältig und gewissenhaft. Interne Mitarbeiter sind jedoch auf die bestehenden Richtlinien verpflichtet, im Gegensatz zu Externen. Auch die Kontrollmöglichkeiten und die Aufmerksamkeit für Probleme sind im eigenen Unternehmen in der Regel besser.

Es ist nicht unmöglich, Sicherheit und Aufmerksamkeit zu delegieren. Aber dabei sollte die Kontrolle grundsätzlich vom eigentlichen Dienstleister unabhängig sein und die letztendliche Verantwortung beim Auftraggeber verbleiben. Der ist in jedem Fall für eine geeignete Kontrollstruktur verantwortlich. "Geeignet" heißt dabei auch "hinreichend kompetent" - ein weiteres, nicht zu unterschätzendes Problem. Durch den Abfluss (oder auch Nicht-Aufbau) von Know-how beim Kunden verschafft sich der Anbieter einen Wissensvorteil, den er für sich und gegen den Auftraggeber einsetzen kann ("Principal­-Agent"-Problem).

Externe Services müssen also kontrolliert und gesteuert werden. Fehlt es an der nötigen Organisation und Kompetenz, droht Organisationsverschulden - und dem Management im schlimmsten Fall eine persönliche Haftung für diesen Mangel. Durch die externe Vergabe spart das Unternehmen Wissensaufbau und Organisation im Betrieb. Dafür muss es aber Wissen und Organisation im Controlling vorhalten oder aufbauen. Stichworte wie IKS (Internes Kontroll-System) oder GRC (Governance Risk und Compliance) werden künftig auch in der IT zum üblichen Jargon gehören.