Compliance Management

7 Fehler, die Sie vermeiden sollten

30.11.2021
Von 
Bob Violino arbeitet als freier IT-Journalist für InfoWorld und Network World in den USA.
Regulierungen in Bezug auf IT-Systeme und Daten sind auf dem Vormarsch. Diese Compliance-Fehltritte sollten IT-Entscheider vermeiden, ansonsten drohen saftige Geldstrafen.
Um in Sachen Compliance die Balance zu halten, sollten Sie diese sieben Fehler vermeiden.
Um in Sachen Compliance die Balance zu halten, sollten Sie diese sieben Fehler vermeiden.
Foto: eamesBot - shutterstock.com

Compliance gehört für fast jedes Unternehmen zum Alltag - insbesondere in stark regulierten Branchen wie dem Gesundheits- und Finanzwesen oder der öffentlichen Verwaltung. Und auch wenn der Compliance-Komplex oft in den Zuständigkeitsbereich von Rechtsabteilung oder Risikomanagement fällt - die IT-Abteilung ist mit Sicherheit in die Compliance-Bemühungen eingebunden. Der CIO und andere Führungskräfte aus dem technischen Bereich müssen sich aller Vorschriften bewusst sein, die Daten, Datenschutz, Sicherheit und andere technologische Elemente betreffen. Sie können auch entscheidend dazu beitragen, dass ihren Unternehmen hohe Geldstrafen wegen der Nichteinhaltung von Vorschriften erspart bleiben.

Dazu kommt, dass das regulatorische Umfeld zunehmend komplexer wird, vor allem mit dem Aufkommen zahlreicher neuer Datenschutzvorschriften wie der europäischen Datenschutzgrundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA). Dutzende von Ländern ziehen mit ähnlichen Vorschriften zum Schutz der Daten von Einzelpersonen nach und es ist kein Ende in Sicht - die Marktforscher von Gartner prognostizieren, dass moderne Datenschutzgesetze bis Ende 2023 die Rechte von 75 Prozent der Weltbevölkerung gewährleisten werden.

Der Schlüssel für CIOs liegt darin, die Compliance zu unterstützen - ohne dabei Schwierigkeiten zu verursachen. Wir haben sieben gängige Fehler zusammengestellt, die Sie nach Meinung von Experten vermeiden sollten.

1. Auditoren als Feinde betrachten

Es ist manchmal schwer, keine defensive Haltung einzunehmen, weiß Gary Kern, CIO bei Middlefield Banking, besonders, wenn Auditoren IT-Initiativen und ihre Auswirkungen auf die Compliance in Frage stellen: "Da kommt eine Gruppe von Leuten und zerpflückt Ihre gut durchdachte Strategie." Wenn so etwas zu Reibungsverlusten führt, sei das jedoch nicht hilfreich, so Kern: "Es ist immer besser, auf Augenhöhe miteinander zu kommunizieren, Perspektiven zu diskutieren und darüber nachzudenken, wie man seine IT-Umgebung verbessern kann", erklärt der CIO: "Es bleibt zu hoffen, dass alle das Gleiche wollen, auch diejenigen, die die Compliance-Vorschriften erlassen haben, nämlich sicherstellen, dass keine Fehler auftreten, die Umgebung optimal gestaltet ist und die Prozesse transparent sind."

Kern hatte selbst schon die Gelegenheit, diese Taktik im Rahmen eines Audits zu testen: "Ich war mit einigen der vorläufigen Ergebnissen nicht unbedingt einverstanden, also führte ich ein ausführliches Gespräch mit dem leitenden IT-Prüfer, um den Kommentaren auf den Grund zu gehen. Dabei habe ich versucht, ihm unsere Alternativen darzulegen, ohne eine Verteidigungshaltung einzunehmen", sagt er. "Wir erzielten eine Einigung, die wir beide für fair hielten." Etwa sechs Monate später erhielt Kern eine Einladung zu einer Schulungskonferenz der IT-Prüfer: "Das war für mich eine großartige Erfahrung, die mir einen noch besseren Einblick in den gesamten Prozess verschaffte."

"Aufsichtsbehörden entnehmen ihre Beobachtungen oft internen Audit-Reports", sagt Samir Datt, Managing Director im Bereich Technologieberatung bei Protiviti. "Wenn CIOs kollaborieren und sich dem internen Audit-Prozess stellen, statt sich davor zu verstecken, können sie die Compliance proaktiv angehen - bevor sie von den Behörden überprüft werden."

2. Ausnahmen falsch handhaben

Für die meisten Regeln gibt es Ausnahmen - das gilt auch für Vorschriften, die verschiedene Aspekte der IT betreffen. "Wenn es um Abwägungen zwischen Geschäft, Sicherheit und Kunden geht, gibt es selten eine einhundertprozentig richtige Antwort", meint Kern. "Deshalb ist es gut, einen Prozess für das Ausnahmemanagement einzurichten."

Dazu gehört nach Meinung des Experten:

  • dass alle Maßnahmen - und warum diese im Widerspruch zu bestehenden Compliance-Regeln stehen könnten - dokumentiert werden;

  • welche zusätzlichen Schritte unternommen werden, um die Compliance-Ziele zu erreichen;

  • ob die Umgehung einer Regel dauerhaft erfolgt oder regelmäßig überprüft wird und

  • welcher leitende Nicht-IT-Stakeholder die Angemessenheit der Ausnahme abgesegnet hat.

"Zugegeben, es gibt einige Regeln, die sich einfach nicht umgehen lassen", weiß Kern. "Aber in Situationen, in denen eine geschäftliche Entscheidung getroffen werden muss und ein Risiko eingangen wird, muss darüber vollständige Klarheit herrschen. Es sollte aufgezeichnet werden, wie die Absicht der Compliance-Regel auf andere Weise gehandhabt werden kann oder warum sie in der jeweiligen Situation keinen Sinn macht."

3. Teams unzureichend vorbereiten

Wie bei den meisten Aspekten der IT kann auch in Sachen Compliance ein Mangel an Skills, Erfahrung und Wissen zu Problemen führen: "Eine starke Compliance-Strategie steht und fällt mit dem Team", sagt Rashmi Kumar, CIO von Hewlett Packard Enterprise (HPE). "Es ist wichtig, dass CIOs ein Compliance-Team aufbauen, das einen kontinuierlichen Verbesserungsansatz verfolgt, wenn es darum geht, Änderungen der gesetzlichen Vorschriften im Zusammenhang mit der IT anzugehen."

Das globale IT-Compliance-Team von HPE stütze sich auf einen Plan zur kontinuierlichen Verbesserung, in dem es fortlaufend die notwendigen Änderungen am Compliance-Programm in den Bereichen Berichterstattung, Engagement und Kontrollmanagement identifiziere, so Kumar. "Durch die Nutzung dieses Ansatzes konnten wir die Zeit für unsere Evidence Delivery um fünf Tage verkürzen."

Compliance-Bemühungen müssten funktionsübergreifend greifen, so Kumar weiter: "Wir machen Compliance zur Aufgabe jedes Einzelnen, indem wir sie in die Ziele jedes Mitarbeiters innerhalb und außerhalb der IT einbeziehen. So stellen wir sicher, dass das gesamte Unternehmen Unterstützung und Engagement zeigt und die Compliance-Kultur wächst."

4. Compliance diktiert Security

IT- und Cybersecurity-Führungskräfte müssen sich zwar in Sachen Compliance auf dem Laufenden halten, insbesondere was gesetzliche Vorgaben angeht, sagt Russel Prouix, CISO beim Healthcare-Zahlungsdienstleister Zelis. "Das Ziel sollte aber immer ein solides Sicherheitsprogramm sein, das Ihr Geschäft, Ihre Unternehmensziele und die Branche, in der Sie tätig sind, angemessen unterstützt. Wenn Sie so vorgehen, ist Compliance das Ergebnis und nicht nur ein Ziel."

Grundlegende Sicherheitsmaßnahmen würden oft schlecht verwaltet, was die Einhaltung von Vorschriften erschwere, sagt Prouix. Dazu gehörten ordnungsgemäßes Patching und Schwachstellenmanagement, Sicherheitshygiene in Bezug auf Benutzerkonten (etwa das rechtzeitige Löschen von Konten, wenn Mitarbeiter das Unternehmen verlassen), die Verwendung einer Zwei-Faktor-Authentifizierung für Remote-Zugriff sowie ein ordnungsgemäßes Mobile Device Management.

"Richtige Sicherheit erfordert einen Top-Down-Ansatz", meint der CISO. Bevor man versuche, Initiativen für Cybersicherheitsprogramme zu implementieren, einschließlich solcher, die die Compliance unterstützen, müsse man auf den Support von Vorstand, CEO und Geschäftsleitung zählen können, um den Ton anzugeben: "IT und Sicherheit müssen dann mit dem Business zusammenarbeiten, um den Datenschutz zu gewährleisten und gleichzeitig den Datenfluss zu ermöglichen, damit das Unternehmen florieren und wettbewerbsfähig bleiben kann."

5. Schlüssel-Tools verschmähen

Es gibt einen ganzen Markt voll Technologien für Compliance-Bedürfnisse. Während die Rechts- und Compliance-Teams für die Beschaffung dieser Technologien verantwortlich sind, können IT-Verantwortliche durchaus bei der Auswahl und dem Einsatz der geeignetsten Lösungen mitwirken. Gartner hat im September 2021 drei Bereiche identifiziert, auf die Compliance-Verantwortliche ihre Technologieinvestitionen konzentrieren sollten:

  1. Foundational Systems of Record: Investitionen in diese Systeme für die Compliance können die ansonsten für die Berichterstattung erforderliche Ad-hoc-Datenerfassung reduzieren und Datensätze aggregieren, die das Potenzial von Analytics und künstlicher Intelligenz für die Compliance erschließen können, so das Beratungsunternehmen.

  2. Digitalisierte Arbeitsabläufe: Laut Gartner müssen Rechts- und Compliance-Teams mehr Arbeit denn je bewältigen. Mit Hilfe von Technologie könnten die umfangreichsten Arbeitsabläufe digitalisiert und erhebliche Workflow-Optimierungen erzielt werden.

  3. Digitales Risikomanagement: Die Volatilität der Vorschriften, die digitale Transformation der Unternehmen, die zunehmenden Cybersecurity-Risiken und der Umfang der Informationen, den überwachte Risiko- und Sicherheitsaktivitäten aufwerfen belasten laut Gartner die Fähigkeit der Unternehmen, Risiken mit traditionellen, analogen Mitteln effektiv zu verwalten. Compliance-Führungskräfte sollten deshalb nach Möglichkeiten suchen, das Risikomanagement und Compliance-bezogene Aktivitäten zu rationalisieren und ihr Verständnis von Risiken durch Systemintegration mit Datenquellen auf operativer Ebene zu verbessern.

Zack Hutto, Director of Advisory in Gartners Legal and Compliance Practice, weist darauf hin, dass eine Technologieeinführung für ein durchschnittliches Compliance-Team viele andere Unternehmensfunktionen verlangsamt. "Die Teams sollten zunächst grundlegende Aufzeichnungssysteme einrichten und dann in Tools zur Erleichterung wichtiger Arbeitsabläufe investieren, bevor sie anspruchsvollere Möglichkeiten wie ein digitales Risikomanagement erkunden."

6. Kein Regulierungs-Verständnis

In manchen Fällen stimmt das Verständnis eines Unternehmens für einen rechtlichen Aspekt nicht vollständig mit der Intention der Vorschriften überein - was zu Verwirrung führen kann. Das kann etwa bei IT-bezogenen Themen wie dem Datenschutz der Fall sein.

"Wir sehen oft, dass Unternehmen mit einer Antwort zurückkommen, ohne wirklich zu verstehen, was die Aufsichtsbehörden von ihnen wollen", meint Datt. "Die Aufsichtsbehörden geben oft Beobachtungen an, was ein Hinweis darauf ist, was sie wirklich als Problem sehen." Anstatt sich also zu sehr auf den Wortlaut eines MRA ("Matters requiring attention") oder der Beobachtung zu konzentrieren, sollten die Unternehmen wirklich verstehen, worum es geht, so Datt: "Ein positiver Dialog mit den Regulierungsbehörden hilft dabei, den Sinn der Hinweise zu verstehen."

7. Keine Governance-Struktur

Auch wenn Unternehmen über grundlegende Prozesse und Kontrollen verfügen, fehle es ihnen oft an einer strukturierten Governance, die die Risikoabdeckung sowie die Anpassung ihrer Prozesse und Kontrollen an die regulatorischen Anforderungen bestätigt, so Datt.

"Das kann zu einer unrationalisierten Unternehmensarchitektur und -kontrolle, zu unregelmäßigen Reaktionen auf Anfragen von Aufsichtsbehörden oder anderen Interessenvertretern sowie zu potenziellen blinden Flecken führen", so der Experte. CIOs und andere Technologieverantwortliche sollten dazu beitragen, eine übergreifende Governance-Struktur zu schaffen, die Informationssicherheit, Unternehmensarchitektur, Anwendungs- und Infrastrukturteams so zusammenführt, dass die Compliance in die Technologiebereitstellung integriert wird. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.