Leitfaden für die Compliance-Unterstützung

Wie Sie Richtlinien effizient einhalten

09.06.2009
Von 
Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.
Das Umsetzen und Einhalten von Unternehmens-Richtlinien ist nicht immer einfach. Ein Microsoft-Leitfaden will hier Unterstützung bieten. Geschäftsführer und Verantwortliche erfahren, wie sie mit wenig Aufwand regulatorische Anforderungen erfüllen und Prozesse optimieren.
Experton-Umfrage: Die Zufriedenheit mit der Umsetzung von Compliance-Anforderungen liegt bei IT-Entscheidern im mittleren Bereich.
Experton-Umfrage: Die Zufriedenheit mit der Umsetzung von Compliance-Anforderungen liegt bei IT-Entscheidern im mittleren Bereich.
Foto: Experton Group

Gemeinsam mit der Experton Group hat Microsoft einen Leitfaden für die effiziente Einhaltung von Richtlinien durch automatisierte IT-Prozesse erstellt. Er zeigt Geschäftsführern, Beratern und IT-Entscheidern, wie sie mit geringem Aufwand für Compliance sorgen - und gleichzeitig Arbeits- und Business-Prozesse verbessern können. Das Whitepaper "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung" lässt sich kostenlos bei Microsoft herunterladen.

Wenig Aufwand - viel Nutzen

In fünf Kapiteln beschreibt das Whitepaper, wie Unternehmen auf Basis ihrer bereits bestehenden Systeme mit wenigen Schritten möglichst viele Richtlinien einhalten. So lassen sich bereits 80 Prozent der Vorschriften durch ein Fünftel des Gesamtaufwandes abdecken. Angesichts der unterschiedlichen Branchenanforderungen und vielen Sonderfälle lässt sich keine allgemein gültige Übersicht der einzuhaltenden Verordnungen geben. Stattdessen erklärt das Dokument über die Grundziele Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt, wie möglichst viele Anforderungen erfüllt werden. Auf IT-Seite lassen sich dabei fünf Kernbereiche ausmachen: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht.

Durch die enge Integration der IT in die Geschäftsprozesse können Workflows so gestaltet werden, dass Kontrollaufgaben automatisiert ablaufen und relevante Daten automatisch erfasst und aufbereitet werden. Dadurch lassen sich hohe Einsparpotentiale nutzen sowie Workflows und Reports effizient gestalten. Zudem erhält die IT einen neuen Stellenwert, sie wandelt sich vom Dienstleister für verschiedene Unternehmensbereiche zu einem Kernbereich des Unternehmens, da sie eine umfassende, automatische Compliance ermöglicht.

Vier Reifegrade

Das im Leitfaden dargestellte "IT-Infrastruktur Compliance Reifegradmodell" hilft bei der Einschätzung des Compliance-Status eines Unternehmens. Es definiert dazu vier Stufen.

  • Basis: IT leistet einen geringen Beitrag zur Compliance und ist eine reine Kostenstelle, ohne Bezug zum operativen oder strategischen Geschäft.

  • Standardisiert: IT trägt sichtbar zur Compliance bei und agiert als effizient geführte Kostenstelle, hat aber noch wenig Bezug zum operativen und strategischen Geschäft.

  • Rationalisiert: IT trägt wesentlich zur Compliance bei und operiert als "Business Enabler" mit deutlichem Bezug zum operativen und strategischen Geschäft.

  • Dynamisch: IT gilt als unentbehrlich für die Compliance und als strategische Ressource, komplett eingebettet in das operative und strategische Geschäft.

Das Modell zeigt auch auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen optimieren lässt, um einen höheren Reifegrad zu erreichen. Diese wurden von internationalen und etablierten Standards abgeleitet. Viele Informationen zu den organisatorischen Aufgaben und rechtlichen Problemen von Unternehmen finden Sie auch im Knowledge Center Compliance und Recht der Computerwoche.