Foto: Fotolia
Kostenoptimierung und Effizienzsteigerung sind nicht zu schlagen. Dieser Themenkomplex steht auf der Agenda der IT-Verantwortlichen an erster Stelle. Dagegen nehmen sich Compliance-Anforderungen auf den ersten Blick als ein kleineres Problem aus. Nur ein Sechstel der IT-Manager hat deswegen Einschlafprobleme. Trotzdem messen fast zwei Drittel der IT-Compliance zumindest eine "eher größere" Bedeutung bei, fast jeder zehnte sogar eine "sehr große".
Zu diesen Ergebnissen kommt eine aktuelle COMPUTERWOCHE-Umfrage, an der rund 150 IT-Verantwortliche teilnahmen. Mehr als 40 Prozent der Befragten bezeichnen sich als IT-Leiter, CIO oder IT-Vorstand, ein knappes Viertel rechnet sich der obersten Führungsebene (Inhaber, Geschäftsführer, Vorstände) zu.
Den geltenden Gesetzen und Regelungen zu entsprechen wird für die IT ein immer größeres Problem. Die Budgets werden knapper, die von außen und innen an die IT herangetragenen Anforderungen steigen jedoch. Vor allem zwei Fakten sorgen dafür, dass Compliance-Projekte nicht gerade zu den Lieblingsvorhaben der CIOs zählen: Zum einen lassen sie sich nicht auf die lange Bank schieben. Was der Gesetzgeber fordert, ist termingerecht umzusetzen, sonst drohen Sanktionen für die Verantwortlichen. Und zum anderen lässt sich daraus kein Return on Investment und kaum ein "Mehrwert" für das Business errechnen - zumindest nicht auf den ersten Blick. IT-Compliance ist ein notwendiges Übel, das Kosten verursacht und vordergründig nichts bringt außer Schadensvermeidung.
Heißes Eisen GDPdU
Doch wie man es auch dreht und wendet: Kaum ein Unternehmen kommt daran vorbei, einen Teil seiner IT-Ausgaben in Compliance-Projekte zu investieren. Das gilt vor allem für den Datenschutz. 87 Prozent der Befragten nennen das Datenschutzgesetz als eine Regelung, der sie entsprechen müssen. Überraschend ist in diesem Zusammenhang eher, dass etwa 13 Prozent das offenbar nicht für notwendig halten. Aber möglicherweise ist ihnen dieses Thema bereits so in Fleisch und Blut übergegangen, dass sie es nicht mehr der Erwähnung wert halten.
Ein heißes Eisen ist auch GDPdU, also die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen durch die Steuerprüfer. Rund 43 Prozent der Umfrageteilnehmer haben dieses Thema auf der Agenda.
Etwa 30 Prozent fühlen sich durch "Basel II" beziehungsweise das Kreditvergabegesetz getrieben. Und knapp 17 Prozent bemühen sich, dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Genüge zu tun. Ein Zehntel muss sich darüber hinaus mit dem US-amerikanischen Sarbanes Oxley Act beschäftigen.
Angesichts dieser Zahlen nehmen sich die Investitionen, die den Compliance-Bemühungen zugeschrieben werden, relativ bescheiden aus. Nicht einmal die Hälfte der Umfrageteilnehmer gibt dafür mehr als zehn Prozent seines Projektbudgets aus. In 29 Prozent der berücksichtigten Unternehmen verschlingen diese Aufwände zwischen einem Zehntel und einem Fünftel des für Projekte zur Verfügung stehenden Geldtopfes. Nicht einmal 15 Prozent der Befragten bezifferten den Compliance-Anteil an den Projektausgaben mit 30 Prozent oder mehr.
Wachsende Aufwände für Compliance
Angesichts dieser Zahlen könnte man annehmen, die Unternehmen hätten ihre Hausaufgaben in den vergangenen Jahren bereits erledigt und könnten deshalb etwas kürzer treten. Doch dem widerspricht ein anderes Umfrageergebnis. Wie fast jeder zweite Teilnehmer bestätigt, ist der Compliance-Anteil an den Projekt-Budgets in den letzten 24 Monaten gestiegen, zu einem großen Teil sogar "deutlich". Die andere Hälfte sieht die Compliance-Ausgaben als "in etwa konstant" an - immer gemessen an den für Projekte verfügbaren Finanzmitteln.
Ein ähnliches Bild ergibt sich, wenn man nach der Erwartung für die kommenden zwei Jahre fragt. Mehr als 50 Prozent der Befragten gehen davon aus, dass ihre Compliance-Ausgaben relativ zu den sonstigen Projektinvestitionen steigen werden; rund 40 Prozent rechnen mit einem konstanten Niveau.
Dass die Compliance-Aufwände die Innovationsfähigkeit der IT und damit des Unternehmens gefährden, ließ sich durch die Umfrage zumindest teilweise bestätigen. 62 Prozent der Teilnehmer fühlen sich zumindest "etwas eingeengt", was ihre Entscheidung für andere wichtige IT-Projekte angeht. Dem gegenüber stehen allerdings auch 38 Prozent die kaum oder gar keine Restriktionen wahrnehmen.
Ein teures, aber notwendiges Übel
Diese Werte klingen nicht unbedingt dramatisch. Gibt man den Umfrageteilnehmern jedoch die Möglichkeit, ihre Bedenken frei zu formulieren, wird - explizit oder zwischen den Zeilen - doch eine gewisse Besorgnis deutlich.
Nur ein Ressourcenfresser?
Sehen Sie die Innovationsfähigkeit der Unternehmen durch Compliance-Aufwändungen gefährdert? So fragte die COMPUTERWOCHE-Marktforschung. Hier einige ausgewählte Antworten.
Zustimmung
Zum Teil sind die geforderten Compliance-Aufwändungen reiner Selbstzweck; sie dienen nicht der eigentlichen Aufgabe der IT.
Es werden Barrieren aufgebaut und Aufwände verursacht, die sich im Mittelstand personell nicht bewältigen lassen.
Um innovativ zu sein, braucht man Platz und Freiräume. Die sind zunehmend vom Aussterben bedroht.
Dichte Regelungen bremsen den Fortschritt. Vor allem das Urheber- und das Patentrecht sollten reformiert werden.
Europa verwaltet sich früher oder später tot.
Die Anforderungen nehmen zu. Gefragt sind deshalb pragmatische Lösungen, die den Aufwand in Grenzen halten.
Widerspruch
Die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien ist aus meiner Sicht nicht verzichtbar.
Die positiven Effekte des Themas dürfen nicht übersehen werden. Sie rechtfertigen möglicherweise die Aufwände.
Compliance-Aufwändungen behindern nicht die Innovationskraft, sondern eröffnen neue Möglichkeiten.
Compliance macht Innovation erst möglich.
Wenn man das Thema optimiert und auf das Unternehmen zuschneidet, ist nichts gefährdet.
Compliance muss so angewendet werden, dass sie Optimierungen einschließt.
IT-Compliance ist aber sicher nicht nur ein IT-Thema. Sie betrifft auch die Business-Seite. Denn wenn das Unternehmen rechtliche Regulierungen verletzt, haftet häufig die Unternehmensleitung. Dementsprechend nehmen fast alle Befragten (96 Prozent) im Rahmen ihrer Compliance-Projekte die Unterstützung des Topmanagements in Anspruch.
Einen hauseigenen Rechtsanwalt, den sie dazu fragen könnten, haben nur zwölf Prozent der Umfrageteilnehmer. Fast zwei Drittel beschäftigen externe Berater. Und 17 Prozent greifen auf die IT-Hersteller oder Systemhäuser zurück, um sich hinsichtlich der für sie relevanten Compliance-Anforderungen beraten zu lassen. Hier hat sich offenbar ein relativ krisensicherer Markt entwickelt.
Kommentar: Das nächste dicke Ding
Von Winston Churchill ist der Satz überliefert: "Glaube keiner Statistik, die du nicht selbst gefälscht hat." Insofern sind die Ergebnisse der COMPUTERWOCHE-Umfrage zum Thema Compliance ohnehin unglaubwürdig, denn wir haben daran nichts verändert – auch wenn sie nicht in jedem Punkt unseren Erwartungen entsprachen.
Plaudert man in den Konferenzpausen mit IT-Verantwortlichen, so hört man häufig, dass die Compliance-Anforderungen einen viel zu großen Teil ihrer Budgets verschlängen. Unseren Umfrageergebnissen zufolge belaufen sich die dafür verwendeten IT-Mittel auf durchschnittlich ein Fünftel der Projektbudgets. Na ja, mag jetzt der eine oder die andere einwenden, für Projekte sind derzeit ohnehin keine Mittel eingeplant. Auch hier überrascht die Umfrage. Offenbar geben die COMPUTERWOCHE-Leser im Durchschnitt nur 55 Prozent der IT-Budgets für den reinen Systembetrieb aus, haben also durchaus Geld für Projekte.
Insofern fühlen sich die Umfrageteilnehmer durch die Compliance-Anforderungen auch nicht allzu sehr in ihrer Entscheidungsfreiheit beschnitten. Die überwiegende Mehrzahl vertritt die Ansicht, die IT werde dadurch "etwas eingeengt". Das klingt nicht unbedingt nach einer ernsten Bedrohung für die Innovationsfähigkeit der Unternehmen. Doch die frei formulierbaren Stellungnahmen zu diesem Thema sprechen eine andere Sprache. Hier äußerte immerhin die Hälfte der Befragten die Ansicht, der bereits eingeschränkten Handlungsspielraum der IT werde durch die Compliance-Aufwendungen weiter eingeschränkt. Wie lässt sich diese Diskrepanz erklären?
Was derartige Umfragen nicht zutage fördern, ist die individuelle Herangehensweise der Unternehmen an das Compliance-Thema. Viele versuchen, sich "pragmatisch" durchzumogeln, indem sie beispielsweise den Wirtschaftsprüfern statt korrekter eher "plausible" Daten liefern. Hinter vorgehaltener Hand hört man Sätze wie: "Die können doch auch nicht abschätzen, wie vollständig und authentisch das ist, was wir ihnen an die Hand geben."
Aufwändiger, aber lohnender ist es, die Compliance-Anforderungen zum Anlass für eine vernünftige Risiko-Management-Strategie zu nehmen. Dazu noch ein Zitat, diesmal von Gartners Forschungs-Chef Peter Sondergaard: "Das nächste große Ding in der IT ist nicht Technik; es ist Kostenreduzierung, Risiko-Management und Compliance."
Karin Quack