Viele IT-Bereiche schätzen die Situation falsch ein und erkennen die Dimensionen erst viel zu spät. Mit dem Thema Governance und Compliance kann man sich nicht früh genug beschäftigen.
Der CIO und der Compliance-Manager sollten gemeinsam festlegen, welche Prozesse wann zu automatisieren sind. Eine enge Zusammenarbeit zwischen IT, Prozessverantwortlichen und Compliance-Team ist daher unerlässlich
Möglichkeiten der Daten- und Prozessmanipulation müssen systemübergreifend unterbunden werden. Nur so lässt sich die Garantie dafür übernehmen, dass die zu schützenden Informationen vor unberechtigtem Zugriff sicher sind und kein Anwender in der Lage ist, einen Cashflow-auslösenden Prozess in alleiniger Verantwortung auszuführen. Beispielsweise sollte er nicht ohne Kontrolle durch einen Dritten die Bankverbindung im Kreditor ändern und die Zahlung freigeben können. Falls das aber aufgrund der Größe des Unternehmens nicht anders möglich ist, muss diese Tatsache zumindest in den Prozessen definiert und dokumentiert werden ("Mitigations").
Der IT-Verantwortliche sollte sich auch die IT-eigenen Prozesse anschauen. Nicht zu vernachlässigen sind hier die Softwarewartung, die Einführung neuer Software, das Transportwesen und die Behandlung von Change Requests im Hinblick auf die Abläufe, die Dokumentation und die jeweiligen Berechtigungen.
