Wie lassen sich Defizite feststellen?

Um herauszufinden, welche Unternehmensprozesse von Compliance-Regeln betroffen sind (beispielsweise P2P oder O2C) und wie sie zu behandeln sind, müssen diese Regeln zunächst einmal definiert sein. In diesem Zusammenhang sind auch die Verfahrensweisen für den Zugriff auf besonders schützenswerte Daten festzulegen. Parallel ist ein User-Konzept für den Notfall zu erstellen. Daran schließt sich die Untersuchung des unternehmensweiten Berechtigungskonzepts im Hinblick auf Vieraugenprinzip (SoD) oder kritischen Zugriff an. Diese Untersuchung gibt unmittelbar Aufschluss über potenzielle Schwachstellen.

Die Anforderungen, die sich daraus ergeben, lassen sich auf die manuellen und IT-gestützten Abläufe herunterbrechen. Prozesse und Kontrollen werden dementsprechend modelliert und dokumentiert. Zudem sind die notwendigen Schulungskonzepte zu erarbeiten. Darauf folgen dann die Integration sowie ? nicht zu vergessen ? regelmäßige Audits.

Projekt-, Risiko-, Qualitäts- und Change-Management sind unerlässlich. Sie sollten durch ein Dokumenten-Management unterstützt werden, um alle Schritte und Entscheidungen erstens begründen und zweitens nachverfolgen zu können. Kompetenz ist hier das A und O. Standards und Tools helfen weiter, können aber nicht die alleinige Antwort sein.

Hilfestellung leisten gern Beratungsunternehmen, die Know-how in Sachen GRC (Governance Risk & Compliance) aufgebaut haben. Sinnvoll ist auch die Unterstützung durch einen Rechtsanwalt, der sich mit dem Thema auskennt. Dazu zählt beispielsweise Michael Schmidl von Baker & McKenzie in München, dessen Fachwissen auch in diesen Artikel eingeflossen ist.