3. Die nicht erfüllten Regeln (Deficencies) abgleichen
Lücken und Risiken in der Unternehmenspraxis lassen sich im dritten Schritt identifiziert, indem die vorhandenen Systeme und Prozesse mit den geltenden Gesetzen und Regeln abgeglichen werden. Damit zeichnet sich ab, wo Handlungsbedarf besteht. Das kann recht komplex sein, wie am Beispiel der E-Mail-Archivierung deutlich wird: Zum einen müssen alle relevanten E-Mails dem Gewährleistungsrecht entsprechend archiviert werden, um die Risiken aus der Produkthaftung abzudecken. Zum anderen ist sicherzustellen, dass bei der Archivierung keine Rechte aus dem Datenschutz verletzt werden, weil ja unter Umständen auch private E-Mails betroffen sind.
4. Die Ursachen und deren Auswirkungen ermitteln
Werden Regelverstöße festgestellt, müssen zunächst die Ursachen gefunden werden. Vorher ist an Maßnahmen zur Risikominimierung überhaupt nicht zu denken. Allerdings hat nicht jede Verletzung von Regeln und Normen zwangsläufig weitere Maßnahmen zur Folge. Zum Beispiel bedürfen ausgehende elektronische Rechnungen eigentlich einer qualifizierten elektronischen Signatur (siehe auch: "Wissenswertes über elektronische Rechnungen"). Ein Unternehmen muss nun abwägen, wie schwer die Nachteile aus der Regelverletzung (Rechnungen ohne Signatur) im Vergleich zum Aufwand wiegen, der nötig ist, um die Regel einzuhalten (Signaturen einführen).
5. Maßnahmen zur Risikoverringerung erarbeiten
Sind die Mängel festgestellt und das Risiko bewertet, gilt es im nächsten Schritt, die geeigneten Maßnahmen auszuwählen. Hier sollte das gesamte Team auf der Basis von Best-Practise-Erfahrungen organisatorische Maßnahmen empfehlen, mit denen sich die IT-Systeme verbessern lassen. Zu unterscheiden sind dabei organisatorische und technische Maßnahmen. Reicht die Anpassung der Policy, oder sind Änderungen bei der Technik notwendig? Typische Empfehlungen betreffen die Einrichtung von Frühwarnsystemen, die Entwicklung von Ausfallszenarien oder die Anpassung bestehender Arbeitsprozesse. Das Ziel ist eine möglichst integrierte GRC-Lösung (Governance, Risk and Compliance).
6. Die betrieblichen Prozess umsetzen und verbessern
Laut FME-Managerin Mayer liegt im notwendigen Übel der Compliance auch eine Chance: "Wir können viel gewinnen, wenn wir das Notwendige mit dem Nützlichen verbinden. Da wir die IT-Systeme oder organisatorischen Abläufe ohnehin anfassen müssen, können wir auch gleichzeitig die Effizienz der Prozesse verbessern." (qua)