Eine Torte mit vielen Hälften
Klassische Situation: eine GAP-Analyse – Neue Regulatorien fordern klare Dokumentation und Test-Nachweise. In einem unabhängigen Audit wurden in Stichproben Mängel nachgewiesen. Der Vorstand eines Unternehmens drängt auf Konformität. Es sind alle Unternehmenskritischen Anwendungen zu prüfen:
- WO stehen wir?
- WELCHE Prioritäten müssen wir zur Erreichung der Konformität setzen?
Externe Berater werden herbeigerufen und machen sich an die Analyse der IST-Situation. Für die erfahrenen Experten eigentlich kein Problem – eine Sache reiner Fakten und Zahlen. Allerdings treten bereits bei dem Feststellungsprozess (Assessment) erste Widerstände auf: der eine oder andere Manager fühlt sich „beobachtet“ oder gar „gegängelt“. Nach langwieriger Konsensfindung können die Anwendungen auf ihre Relevanz geprüft werden. Die Experten erstellen (auf der Basis ihrer langjährigen Erfahrung) eine Kriterienliste nach der die Anwendungen eingestuft werden – und stellen diese im Projekt vor.
Datenmanipulation 1
Für den Report an das obere Management wird diese Liste „eingedampft“ – kurz und knapp denn wir wissen ja „Wer Wichtiges zu sagen hat, macht keine langen Sätze!“ (leider wird bei diesem Zitat oft übersehen, dass dieser Slogan für eine Boulevardzeitung und NICHT als Leitlinie für seriöse Unternehmensleitung bestimmt war).
Es geht eine interne Mitteilung an die Belegschaft – das „Assessment“ beginnt…
Trotz (oder gerade aufgrund) der „eingedampften“ Kriterienliste fallen viele Anwendungen negativ auf: mangelnde Dokumentation, nicht durchgeführte oder nicht dokumentierte Tests. Das Ergebnis in Zahlen:
- 75% der Applikationen analysiert
- Nur 35% der untersuchten Applikationen konform
- 40% der untersuchten Applikationen wiesen z.T. erhebliche Mängel auf
Bei seiner nächsten Sitzung möchte der Lenkungsausschuss über Umfang und Priorisierung von Mitigations- und Belebungsmaßnahmen entscheiden.
Datenmanipulation 2
Die Ergebnisse des Expertenkreises werden für den Vorstand wie folgt „aufbereitet“.
