Dabei weist das Gros der komplexen Bestimmungen durchaus auch Gemeinsamkeiten auf, die sich nutzen lassen, um die Compliance-Last zu verringern. Hierzu gilt es, die einzelnen Regulierungen auf ihre Basisanforderungen zu reduzieren und auf diese Weise den größten gemeinsamen Nenner zu ermitteln. Der ist laut John Hagerty, Vice President bei ARM Research, nicht in den betroffenen Kerngeschäftsprozessen zu finden, da diese naturgemäß je nach Branche variieren. "Die allen gemeinsame Basis ist die IT - es sind stets dieselben Technikprozesse betroffen", erläutert er. Nahezu jede Regulierung stelle Anforderungen im Hinblick auf die folgenden vier IT-Bereiche:
Sicherheit,
Prozess-Management, sprich: Reglementierung des Informationsflusses,
Berichtswesen (Reporting) beziehungsweise Risiko-Management,
Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten.
Wer eine Umgebung geschaffen hat, die diesen vier Aspekten angemessen Rechnung trägt, wird laut Hagerty auf künftige Bestimmungen schneller, effektiver und kostengünstiger reagieren können.
Überschneidungen ermitteln und nutzen
Nach Ansicht von Temporale lässt sich die gesamte Compliance-Thematik im Prinzip auf bestimmte IT-Probleme in Sachen Datenqualität, Datenintegrität und Datenverfügbarkeit zurückführen. Als zentrale proaktive Maßnahme erachtet er es demnach, die Datenhaltung so umzugestalten, dass ein möglichst homogener Daten-Pool entsteht, aus dem sich die für alle Belange benötigten Reports ziehen lassen. Im Fall von IFRS und Basel II ergebe sich beispielsweise eine Reihe von Überschneidungen in Sachen Offenlegung.
Temporales Kollege Ronald Frey wiederum, Bearingpoint-Spezialist für Risk-Management-Lösungen, verweist auf eine beachtliche Schnittmenge hinsichtlich des operativen Risiko-Managements zwischen Basel II und SOX. "Bei beiden Themen geht es um Prozesse und Prozesskontrollen", erläutert Frey. Einige Unternehmen hätten dies bereits erkannt und ihre SOX- und Operational-Risk-Management-Projekte konsequent zusammengelegt.