Compliance zwingt Unternehmen zur Prozess-Reflexion

Weil Compliance mehr ist als die Erfüllung gesetzlicher Vorgaben, legen Unternehmen derzeit ihren Fokus noch auf interne Policies und das Erreichen automatisierter Prozesse.

Interne Vorgaben, beispielsweise firmeneigene Sicherheits-Policies, sind derzeit noch die Haupttreiber für Compliance-Projekte. So lautet das Zwischenergebnis einer Studie, die Novell zusammen mit der Universität Erlangen-Nürnberg derzeit durchführt.

Auffällig ist, dass durch Compliance-Anforderungen offenbar der Zwang entsteht, sich mit eigenen Prozessen auseinanderzusetzen. Unternehmen nutzten diese Herausforderung oftmals für Prozessoptimierungen mit dem Ergebnis, dass 70 Prozent des Compliance-Erfolges durch Prozessverbesserungen erzielt werde.

“Compliance und Sicherheit sind Pflichtthemen in Unternehmen, deren Umsetzung zu einem erheblichen Anteil durch die IT-Abteilung und mit hohem manuellem Aufwand erfolgt”, erklärte Marina Walser, Director Business Development Novell Central Europe. “Nach der erfolgreichen Einführung von Policies und Prozessen liegt jetzt der Fokus darauf, den Aufwand durch automatisierte Lösungen zu reduzieren.”

“Die Studie zeigt, dass die Zentralisierung sämtlicher Anforderungen an einer Stelle ein entscheidender Erfolgsfaktor für die konsistente Erfüllung von Compliance-Anforderungen ist. Viele Compliance-Richtlinien überlappen sich zu fast 80 Prozent und nur ein geringer Anteil muss individuell gehandhabt werden”, erläuterte denn auch Prof. Michael Amberg von der Universität Erlangen-Nürnberg. Quantifizierbare Erfolge seien allerdings schwierig: Die Unternehmen wollten Kosten sparen, die tatsächlichen Einsparungen würden bislang aber kaum analysiert. Auch das höhere Sicherheitslevel, das durch IT-Lösungen erreicht werde, sei nur schwer messbar.

Das genau aber ist das Problem. Eigenschaften, die nicht oder nur schwer messbar sind, kann ein Administrator gerade in den oberen Etagen nur schwer vermitteln. Dass die Einhaltung von Compliance-Regeln aber wichtig ist, dürfte selbst bis zu den Ledersessel-Sitzern durchgedrungen sein. Wahrhaben wollen es dennoch viele erst, wenn das Finanzamt moniert oder ein Schaden entstanden ist.

Solche Schäden können an die Existenz einer Firma gehen, wenn neben den internen auch externe Vorgaben wie gesetzlichen Bestimmungen für die Bilanzen durch SOA oder Basel II und andere Revisionsregeln nicht eingehalten werden. Solchen externen Normen kommt laut der Studie erst jetzt immer mehr Aufmerksamkeit zu. An erster Stelle stehen nach wie vor firmeneigene Bestimmungen, die Compliance-Projekte abschieben.

Die Studie, die im Juni dieses Jahres abgeschlossen wird, analysiert den Status in heutigen Unternehmen. Unter anderem fragen die Verantwortlichen, welcher Aufwand zur Einhaltung und zum Nachweis von Compliance anfällt, oder ob Lösungen für IT-Risiko-Management wirtschaftlich sind. Letzteres haben die Teilnehmer bisher nicht bestätigt.