Die aktuelle Ausgabe der Computer-World (Computerworld 8/23, Mai 2014) hat das Fokusthema ‚COMPLIANCE‘. Neben weiteren sehr interessanten Artikeln hat PEDCO einen Artikel zum Thema geschrieben:

Compliance & Effizienz für Ihre Prozesse

Der Druck auf die CIO’s ist mitunter enorm:  Die Innovationskraft soll möglichst hoch, die Time to Market aber möglichst niedrig sein. In einem regulierten Umfeld ist dieser Spagat besonders anspruchsvoll.

VON PETER PEDROSS

Mit der Umsetzung von Vorgaben wurde in der Vergangenheit oft eher grosszügig – als «Gentlemen’s Agreement» – umgegangen. Heute werden die Vorgaben jedoch strikt kontrolliert. Prozesse und Umgebungen müssen daher auf jeden Fall sicherstellen, dass alle relevanten Regulatorien sicher eingehalten werden.

Andererseits sollten die Prozesse aber so schlank wie möglich sein. Dies hat den einfachen Grund, dass sich ein Unternehmen mit einer Erfüllung der regulatorischen Anforderungen ja keinerlei Wettbewerbsvorteile gegenüber
seinen Konkurrenten erarbeitet hat. Gewinnen kann also nur, wer die Prozesse schlanker und effizienter anwendet als andere Marktteilnehmer und auch kontinuierlich verbessert. Wie ist dies zu erreichen? Compliance-Anforderungen werden je nach Branche von verschiedenen Seiten gefordert. Dies führt zu folgenden Herausforderungen:

  • Compliance-Anforderungen wachsen und werden konsequenter durchgesetzt (FED, FDA).
  • Vorgaben durch Auftraggeber werden strikter (z.B. Defence, CMMI etc.).
  • Die Entwicklung an den Märkten verlangt eine schnellere und kostengünstigere Umsetzung.
  • Innovationszyklen werden kürzer und müssen mit geringeren Ressourcen auskommen.

UNSICHERHEITEN BESEITIGEN
Prozesse sind immer vorhanden und werden in jeder Firma gelebt. Es stellt sich nur die Frage, ob diese implizit oder explizit vorhanden sind. Unternehmen im regulierten Umfeld haben ihre Prozesse grösstenteils definiert. Die Dokumentationen liegen jedoch oft lückenhaft, verstaubt, veraltet und vergessen in einem Regal. Typischerweise sind solche Prozesse als statische Prosabeschreibungen formuliert, entweder als Buch, als Ansammlung loser PDFs oder als statische HTML-Seite. Beispiele, bei denen auf mehreren Hundert Seiten, etwa in einem Absatz der Stufe 6, ein wichtiger Hinweis für den Mitarbeiter versteckt wurde, sind keine Seltenheit. Ob solche Informationen unter Druck präsent sind oder je gelesen wurden, ist höchst unwahrscheinlich. Das Management kann daher nie ganz sicher sein, ob die vorgeschriebenen Prozesse oder – noch schlimmer – die regulatorischen Anforderungen wirklich befolgt werden. Für die Mitarbeiter ist es andererseits schwierig, diese Prozesse einzuhalten. Als Folge davon wächst die Angst vor Fehlern, was wiederum dazu führt, dass die Mitarbeiter zu weniger Flexibilität in den Abläufen tendieren, obwohl dies eigentlich möglich wäre. Zu den typischen Merkmalen solcher Unternehmen zählen:

  • Es geht eher um Einzelleistungen als um eine konstante Serviceleistung.
  • Mitarbeiter führen grundsätzliche Diskussionen darüber, wie etwas ablaufen soll.
  • Es herrscht eine Feuerwehrmentalität, lange und ungeplante Abend- und Wochenendeinsätze werden als normal angesehen.
  • Es werden nicht weiterverwendete Arbeitsprodukte erstellt und die gleichen Informationen mehrfach erfasst.
  • Typischerweise sind kaum Kontrollwerte zu Prozessen vorhanden.

PROZESSMODELLE STATT ABLÄUFE
Prozesse sind in ihrer ganzen Komplexität zu sehen, sie werden jedoch vielfach nur als ein simples Ablaufdiagramm verstanden. Zwar ist die visuelle Darstellung eines Ablaufs wichtig, dies ist jedoch doch nur Teil eines ganzen Systems. Aktivitäten erzeugen Resultate als Arbeitsprodukte und werden von Rollen ausgeführt. Diese Rollen werden wiederum von unterschiedlich erfahrenen Mitarbeitern übernommen, die entsprechend spezifische Informationsbedürfnisse haben. Ein Teil der Aktivitäten wird von IT-Systemen unterstützt, also muss auch diese Information im Prozess vorhanden sein.

Als extrem wichtiges Element ist die Abdeckung der regulatorischen Anforderungen mit den entsprechenden Aktivitäten zu sehen. Diese Abdeckung gibt schlussendlich den Hinweis, welche Aktivitäten auf jeden Fall ausgeführt werden müssen – und welche unter gewissen Umständen anders ausgeführt oder ganz weggelassen werden können. Ein so dokumentierter Prozess entspricht schon eher der Wirklichkeit. Die statische Beschreibung kann aber kaum die unterschiedlichen Bedürfnisse der Mitarbeiter befriedigen und abbilden. Daher müssen die Informationen jeweils dynamisch dargestellt werden. Das heisst, Prozesse sind nicht mehr als statischer Beschrieb, sondern als dynamische Sichten vorhanden, beispielweise auf Rollen-, Phasen- und Arbeitsprodukt basierend und passend auf den Informationsbedarf des Mitarbeiters.

PROCESS TAILORING
Die Erfüllung der regulatorischen Anforderungen  kann via referenziellem Mapping auf den Prozess sicher und nachweislich belegt werden. Es empfiehlt sich, die Mechanik der Anforderungserfüllung mit dem Regulator abzunehmen, nicht die Prozessimplementierung. Mit einer Entkoppelung von Prozessen und Vorschriften bringen Sie den Regulator aus dem Prozess hinaus. Trotzdem kann die Compliance bewiesen werden und die Auswirkungen von Vorschriftsänderungen lassen sich in Ihren Prozessen sehr schnell lokalisieren. Das heisst, dass Sie einen grösseren Grad von Freiheit und Freiraum beim Definieren der Prozesse erreichen.  Effizienzerkenntnisse können so sofort angewendet und der Prozess kontinuierlich verbessert werden.

Tailoring ermöglicht die optimale Anpassung von Aktivitäten und Dokumenten an die spezifischen Bedürfnisse der konkreten Vorhaben. Überflüssige Elemente werden entfernt, die notwendigen benutzt oder angepasst. Dadurch lassen sich Prozessvarianten einfach und ohne Eingriff in das System bilden und trotzdem die regulatorischen Anforderungen erfüllen. Es hat sich zudem bewährt, auf anerkannte Referenzmodelle zu setzen. Ein Schweizer IT Dienstleister setzt beispielweise für die Software-Entwicklung auf das etablierte Fähigkeitsmodell «Capability Maturity Model Integrated» (CMMI) und richtet die Prozesse an diesem Referenzmodell aus. Die regulatorischen Anforderungen wurden in einem weiteren Schritt auf das Referenzmodell gemappt. Mit einem solchen Mapping auf CMMI konnten alle relevanten Anforderungen von verschiedenen Regulatoren mit dem gleichen Prozessmodell erfüllt werden.

MESSBARER NUTZEN

Was bringt es dem Unternehmen, wenn Prozesse, basierend auf einem Referenzmodell, aufgesetzt werden und das Prozess-Framework aufgrund von Evidenzen kontinuierlich verbessert wird? Die folgenden Werte sind gemessene Resultate eines Schweizer Unternehmens:

  • Die Produktivität der Projekte konnte um rund 20 Prozent erhöht werden.
  • Die Kostenvarianz in den Projekten wurde auf ein Fünftel des Ausgangswerts gesenkt.
  • Die Projektabbruchrate reduzierte sich auf ein Neuntel des Ausgangswerts.

Eine Produktivitätssteigerung von 20 Prozent kann zum Beispiel das längerfristige Überleben einer Organisation sichern, weil so mehr Zeit in Innovationen oder schon lange anstehende Arbeiten fliesst (Reduzierung der «Technical dept»). Mit einer auf ein Fünftel reduzierten Kostenvarianz lassen sich vorhandene Ressourcen besser verplanen und nutzen. Der angenehme Nebeneffekt: Es gibt weniger «Feuerwehrübungen» und die Zahl der Wochenend- und langen Arbeitsabende nimmt ab.

FAZIT: SICHERE & EFFIZIENTE PROZESSE
Es zahlt sich also substanziell aus, in Prozesse und Qualität zu investieren. Dabei haben sich Referenzmodelle zur Implementierung von Prozessen bewährt. Ein Schlüsselfaktor ist, die Prozesse als Modell zu definieren und als dynamische Sichten für den Empfänger darzustellen. Ein gesteuertes Process Tailoring ist ein weiterer Erfolgsfaktor, andernfalls werden sämtliche Vorhaben durch dieselben Prozesse geführt und überflüssige Arbeitsprodukte erzeugt. Compliance wird dadurch zum angenehmen Nebeneffekt.

Hier finden Sie den Artikel im Orginal-Format PEDCO_Compliance_und_Effizienz_Computerworld_2014_05_23