IT-Compliance ist ein lästiger Zeitfresser
Compliance wird oft als Zeitfresser betrachtet. In jedem vierten deutschen Unternehmen entfallen zwischen 11 und 30 Prozent der Arbeitszeit auf die Umsetzung von Compliance-Vorschriften. Insbesondere die IT-Abteilungen werden durch die Flut an gesetzlichen Vorgaben stark beansprucht. Denn ohne deren Unterstützung lassen sich die Richtlinien nicht umsetzen.
So berichtet die Mehrheit der IT-Verantwortlichen (58 Prozent) von einem wachsenden Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen Kodizes. Nur 2 Prozent der Fach- und Führungskräfte sehen sinkende Aufwendungen. Zu diesen Ergebnissen kommt eine aktuelle Studie, die von Steria Mummert Consulting im Auftrag der Informationweek ausgewertet wurde.
Weltweit gibt es demnach mehr als 10.000 Compliance-Vorschriften, etwa zu Aufbewahrungsfristen, Datenschutzbestimmungen und zum Risikomanagement. Und der Aufwand durch neue Compliance-Richtlinien wird noch weiter zunehmen. Davon sind zwei Drittel der befragten IT-Verantwortlichen überzeugt. So löst beispielsweise die Ende Juni 2008 in Kraft tretende EuroSOX-Richtlinie weiteren Regelungsbedarf aus, teilten die Berater mit.
Von der steigenden Anzahl gesetzlicher Ge- und Verbote sind demnach alle Unternehmensbereiche betroffen. Dementsprechend hoch sind die Anforderungen an die IT. So wird die Einhaltung gesetzlicher Sorgfaltspflichten etwa durch ein IT-gestütztes Risikomanagement gewährleistet. Aspekte des Bundesdatenschutzgesetzes müssen in der elektronischen Auftragsdatenverarbeitung berücksichtigt werden. Daher rangieren gesetzliche Anforderungen aktuell unter den Top 5 der wichtigsten Treiber für neue IT-Projekte. 78 Prozent der befragten IT-Manager sehen in Gesetzesvorgaben einen ausschlaggebenden Grund für zukünftige IT-Investitionen ihres Unternehmens.
“Unternehmen sollten die Compliance-Vorschriften jedoch nicht nur als Zwangsaufgabe begreifen, sondern auch als Chance sehen”, sagte Wolfgang Nickel von Steria. “Zum einen liefern Compliance-Vorgaben Initialzündungen für IT-Projekte, die ohnehin eine geschäftsrelevante Bedeutung haben und bisher nicht angegangen worden sind – zum Beispiel eine verbesserte IT-Sicherheit. Zum anderen führen sie oftmals zu einer deutlichen Prozessoptimierung.” So würden doppelte Aufgaben erkannt, verbesserte Prozesse eingeführt und Datenstrukturen an aktuelle Anforderungen angepasst, so der Experte.
