Die ersten Ergebnisse der Studie:Die Awareness für Compliance-Fragen hat merklich zugenommen – die Unternehmen legen zunehmendes Gewicht auf interne Compliance. Basis der Studie bilden branchenübergreifende Experteninterviews mit Entscheidern. Abgefragt werden die Anforderungen und Herangehensweisen der Unternehmen sowie Best Practices und Erfahrungen mit dem Einsatz von IT-Lösungen.
Die Gespräche zeigen,dass durch Compliance-Anforderungen der Zwang entsteht, sich mit den eigenen Prozessen auseinanderzusetzen. Das ist oft der Anlass für Prozessoptimierungen – mit dem Ergebnis, dass 70 Prozent des Compliance-Erfolgs durch Prozessverbesserungen erzielt wird. Unter dem Druck, gesetzliche Vorgaben zeitnah und paragrafengetreu umzusetzen, spielen die Wirtschaftlichkeit und die Effizienz von Compliance-Lösungen bislang eine untergeordnete Rolle.
Die Compliance-Anforderungen im Unternehmen (etwa BDSG, GDPdU, Sarbanes-Oxley Act, Basel II, die kommende 8. EU-Richtlinie etc.) sowie interne Sicherheitsrichtlinien oder Vorgaben von Geschäftspartnern werden immer umfangreicher.Marktforscher sprechen von mehreren Millionen Euro, die große Unternehmen für die Einhaltung von Compliance-Richtlinien ausgeben. Abhilfe versprechen Security-, Information- und Event-Management-Systeme (SIEM). Sie sollen helfen, den hohen Personal und Zeitaufwand zu reduzieren und durch Automatisierung Bedrohungen und Compliance-relevante Vorfälle in Echtzeit zu identifizieren.
„Die Studie zeigt, dass die Zentralisierung sämtlicher Anforderungen an einer Stelle ein entscheidender Erfolgsfaktor für die konsistente Erfüllung von Compliance-Anforderungen ist. Viele Richtlinien überlappen sich zu fast 80 Prozent, und nur ein geringer Anteil ist individuell zu handhaben“, sagt Professor Michael Amberg, der die Studie aufseiten der Universität Erlangen-Nürnberg betreut. In den Unternehmen scheint diese Botschaft angekommen zu sein: „Man trifft immer häufiger auf einen zentralen Compliance-Verantwortlichen. Dabei macht es kaum einen Unterschied, ob er den Titel eines Chief Compliance Officer trägt oder die Aufgabe etwa beim CSO (Chief Security Officer) angesiedelt ist. Wichtig ist, dass viele Unternehmen die
Rolle eines zentralen Compliance-Verantwortlichen etabliert haben“, sagt Marina Walser,Director Business Development bei Novell.
„Die Umsetzung von Compliance und Sicherheit erfolgt zu einem erheblichen Anteil durch die IT-Abteilung mit hohem manuellem Aufwand. Nach der Einführung von Policies und Prozessen liegt jetzt der Fokus darauf, den Aufwand durch automatisierte Lösungen zu reduzieren“, so Walser.
Der RoI automatisierter Lösungen ist indes schwer quantifizierbar. Weder die durch Compliance
ausgelösten Prozessverbesserungen noch das durch IT-Lösungen verbesserte Sicherheitsniveau lassen sich exakt in Heller und Pfennig umrechnen. „Wir legen in der Studie deshalb besonderen Wert darauf herauszuarbeiten, inwiefern Aufwand und Nutzen quantifizierbar sind.“ Die finalen Ergebnisse wollen die Universität Erlangen-Nürnberg und Novell Ende Juni dieses Jahres veröffentlichen.