Brauchen Unternehmen einen Chief Information Governance Officer (CIGO)?

In amerikanischen Fachkreisen[1] zirkuliert seit neuestem die Vorstellung, man müsse die Aufgaben im Rahmen der Information Governance an eine Person übertragen. Das Information Governance Institute (IGI) , eine private Vereinigung, hat dazu eine Positionsbeschreibung veröffentlicht. Gesprochen wird hier vom Chief Information Governance Officer (CIGO) , welcher eine zentrale Führungsrolle im Zusammenhang mit dem Umgang mit Information einzunehmen hat. Er soll:

  • Ein IG Programm implementieren,
  • es steuern,
  • das Steuerungskommittee zum Thema IG führen,
  • Policies und Weisungen erstellen und prüfen,
  • Technologielösungen implementieren,
  • Compliance audits durchführen,
  • Incident management steuern und überwachen.

Das tönt alles sehr abstrakt und ist wohl dringend nötig, dass man die Geschichte etwas konkretisiert.

Bevor man über die Rolle diese Person diskutiert, sollte man wissen, was man unter Information Governance (IG) versteht. Wir verweisen in diesem Zusammenhang auf unser Video[2], in welchem Information Governance definiert und umschrieben wird. Der Umgang mit Information muss so organisiert werden, wie wenn eine Wohngemeinschaft einen Kühlschrank bewirtschaften müsste. Im Unternehmen entsprechen die Daten den Lebensmitteln im Kühlschrank. Nur bei richtigem Einkauf, richtiger Lagerung und auch korrekter Nutzung können die Lebensmittel ihren Zweck erfüllen. Genauso verhält sich mit den Daten. Daten sind für Unternehmen eine lebenswichtige Ressource und zunehmend überlebensnotwendig. Trotzdem wird mit ihnen eher lässig umgegangen.

In der Wohngemeinschaft übernimmt meistens eine Person eine zentrale Koordinationsrolle. Diese hat die Aufgabe, einen Grundsatz von Regeln mit den Bewohnern zu erarbeiten und diese später auch umzusetzen. Für die erfolgreiche Bewirtschaftung des Kühlschranks braucht es folglich nebst den Regeln auch jemanden, der bei Nichtbefolgung den Mitbewohnern auf die Finger klopft.

Ähnlich verhält es sich bei der Information Governance (IG). Doch hier gibt es auch gewichtige Unterschiede. Während eine Wohngemeinschaft durchaus überschaubar ist, was die Anzahl der Mitbewohner angeht, ist dies in einem Unternehmen meist nicht der Fall. Zudem ist in Unternehmen die Datenhaltung verteilt. Den einzelnen Mitarbeiter interessiert in der Regel nur gerade sein Datenpool. Ob und wie es den anderen im Umgang mit ihren Daten geht, ist für ihn meistens von untergeordneter Bedeutung. Durch die in den letzten 20 Jahren immer stärker gewordene Arbeitsaufteilung kommt hinzu, dass eine unerwünschte Fragmentierung der Prozesse stattgefunden hat. Viele Probleme, die im Zusammenhang mit Daten entstehen, sind darauf zurückzuführen, dass es schlicht an der Übersicht fehlt. Es stellt sich folglich die Frage, ob eine einzelne Person/Funktion in der Lage wäre, dies zu verbessern.

Betrachten wir zuerst die Aufgaben, die ein CIGO gemäss IGI haben müsste. Im Kern hat er den Auftrag, die Information des Unternehmens zu bewirtschaften. Und durch Vertrauen dafür zu sorgen, dass sowohl die Wertaspekte (Performance) wie auch die regulatorischen Fragen (Conformance) ausreichend und ausbalanciert berücksichtigt werden.

Dies lässt sich mit unseren Conformance/Performance Diagramm aus unserem Leitfaden leicht darstellen:

Conformance Performance Strateg Positioning E_(C)KRM

Es ist leicht zu erkennen, das es sich hier um einen Spagat handelt, der durch eine Person kaum zu bewältigen ist. Andererseits sehen viele den Schwachpunkt der heutigen Organisation darin, dass alle Themenbereiche der Informationsbearbeitung auf verschiedene Personen aufgeteilt sind. Das Geschäftsleitungsmitglied, welches für die operationelle Geschäftseinheit verantwortlich ist, hat in erster Linie sein Ergebnis im Auge. Der Compliance Officer bzw. Leiter der Rechtsabteilung kümmert sich schwerpunktmässig um Fragen der Konformität. Trotzdem müssen sich beide auch um die Fragen des andern kümmern. Denn auch der Leiter des Kerngeschäfts wird tunlichst darauf achten, dass er die regulatorischen Vorgaben so gut als möglich einhält. Nur so kann er nämlich sein Geschäft ausüben. Für den Chef des Rechtsdienstes gilt ähnliches. Er will eine möglichst hohe Akzeptanz erreichen, dazu muss er mit der Geschäftseinheit eine gute Arbeitsbasis finden. Eine neutrale Partei oder eine dritte Person, welche hier beides zu vereinen versucht, wird daran scheitern, dass sie keine „Befehlsgewalt“ besitzt. Ist dies gewünscht? Wohl kaum, der CIGO kann höchstens eine koordinierende Funktion übernehmen. Damit fällt er in ein vergleichbares Rollenbild, wie es der CISO (Chief Information Security Officer) inne hat. Das Beispiel offenbart den Widerspruch oder das Dilemma zwischen reiner Koordination oder bereitwillliger IG-Orchestrierung und mangelnder Weisungsbefugnis bzw. Durchsetzungkraft. Dieses Dilemma kann nur gelöst werden, wenn in einer Unternehmenskultur die entsprechenden Stakeholder anfangen sich kooperativ auf die Gesamtziele/ -nutzen auszurichten (Unternehmen als Ökosystem mit Legitimationskraft) und nicht auf isolierten Einzelzielen mit konkurrierenden Bonusanreizen (Ego-System) beharren. Der CIGO wäre dann bloss der oberste „Transformator“.

Folglich müsste der CIGO sehr genau auf die Unternehmensorganisation (-kultur) eingestellt werden. Das Verständnis für die Bedeutung der Information als Wertschöpfungsfaktor kann jedoch kaum durch eine Instanz (Person/Funktion) entwickelt werden. Es ist Aufgabe des Verwaltungsrats und der Geschäftsleitung, die Ressource Information in den richtigen Kontext zu stellen und die dafür notwendigen Ressourcen und Prozesse zu schaffen. Im Idealfall kümmert sich ein exekutives Mitglied der Geschäftsleitung um das Thema, mit Unterstützung eines Verwaltungsrats. Entscheidend ist nicht die Person, sondern der Umgang aller ins IG-Programm involvierten Akteure mit dem Thema sowie eine unternehmerische Weitsicht. Auf jeden Fall hilft es, wenn man nicht nur den modernen Marktschreiern der Digitalisierung folgt, sondern auch die eigene Kompetenz im Umgang mit Informationen kennt[3]. Eine wichtige Aufgabe besteht darin, die Aspekte der Conformance und der Performance ausreichend zu würdigen bzw. aufeinander abzustimmen. Dies ist insbesondere eine Funktion des Verwaltungsrats. Er hat darauf zu achten, dass die exekutiven Kräfte eine ausgewogene Verteilung anstreben.

Gleichzeitig muss dafür gesorgt werden, dass es nicht bei schönen Wortschöpfungen oder strategischen Papieren bzw. unerfüllbaren Roadmaps bleibt. Umsetzen bedeutet konkret, dass auf der operativen Ebene etwas spürbares geschieht! Auch beim Kühlschrank nützt es nichts, wenn man wunderschöne Regeln hat, sich aber niemand daran hält. Der Verwaltungsrat muss ein Mitglied bestimmen, welches darüber wacht, dass die Regeln eingehalten werden und sanktioniert, sobald dies nicht der Fall ist. Im Kühlschrankbeispiel ist der „master of fridge“ derjenige, der diese Rolle ausfüllt. Auch im Unternehmen sollte eine solche Rolle bezeichnet werden. Wie gesagt denken wir nicht, dass es sich um eine Person handelt, die ausschliesslich diesen Tätigkeiten nachgeht. Vielmehr ist zu identifizieren, welche Geschäftsbereiche zentral von Informationen leben und darauf angewiesen sind. Diese Geschäftsbereiche sollten auch die Oberherrschaft über die Information Governance bekommen, natürlich in Absprache und unter Führung des Verwaltungsrats. Klare Ziele, ein sauberer Aufgabenkatalog sowie eine entsprechend gelebte Kultur runden das Ganze ab.

Der nächste Beitrag von Jürg Hagmann wird sich mit innovativen Ansätzen agiler oder lateraler Führung und Interaktion befassen, ohne die kein organisationaler Wandel im Sinne einer konstruktiven Information Governance Organisation stattfinden wird.

[1] Information Governance Institute (IGI), Introducing the Chief Information Governance Offficer: A New Information leader for a new era; http://iginitiative.com/

[2] Was ist Information Governance? https://youtu.be/DZFWPeP_hS0

[3] So z.B. der Ruf von McKinsey nach dem Chief Digital Officer (CDO), denn auch er hat keine echte Überlebenschance

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Related articles

On 16.3. is Digital Cleanup Day

On 16.3. is Digital Cleanup Day

Tidying up is clearly not everyone's cup of tea, but we all know the good feeling that a tidy room, a tidy desk or ... a tidy drive! You can feel proud with a clear conscience, because deleting data also has an important effect on energy consumption. I have calculated...

read more
Dealing with data risks: Data breach notification

Dealing with data risks: Data breach notification

A data breach notification or "data breach notification" refers to the process by which an organization or company is required to notify the relevant data protection authorities and, if applicable, data subjects of a data breach that is likely to result in a high risk...

read more