Navigator im Compliance-Dickicht

Die Kosten und der personelle Aufwand zur Erfüllung von Compliance-Anforderungen sind signifikant. Erst die Integration in den regulären Betrieb macht Compliance-Prozesse wirtschaftlich.

» Von Matthias Leisi*, 09.01.2012 06:45.

weitere Artikel

Es gibt heute nur noch wenige Branchen, die sich der Compliance, also von aussen vorgeschriebenen Regeln für den Aufbau und Betrieb der IT-Infrastruktur, entziehen können. Unternehmen mit staatlicher Regulierung im Finanz- oder Pharmasektor sind davon besonders betroffen, aber auch private vertragliche Bestimmungen sehen zunehmend dedizierte Anforderungen an die Compliance vor, etwa zwischen Lieferanten und Zulieferern.

Mit einem integrierten Ansatz kann der extern vorgegebene Compliance-Aufwand gleichzeitig zur Verbesserung der operativen Prozesse genutzt werden. Je besser die Implementierung der Konzepte aufeinander abgestimmt ist, desto profitabler wird das Verhältnis von Nutzen und Ertrag sein. Denn die Messdaten aus dem operativen Betrieb dienen auch zur Verbesserung der Prozesse und gleichzeitig als Nachweis zur Erfüllung von Revisionsauflagen. Dieses Konzept, das immer auch an die jeweilige Situation angepasst werden muss, hat sich bereits in konkreten Kundenprojekten bewährt.

Integrierter Ansatz

Ein integrierter Ansatz berücksichtigt operative Prozesse (nach ITIL), die IT-Sicherheit (häufig ein Information-Security-Management System, ISMS nach ISO27001), die IT-Audit-Sicht (nach COBIT) wie auch externe Compliance-Anforderungen (z.B. FINMA-Outsourcing-Richtlinie, PCI/DSS, SOX IT General Controls etc.).

Zudem muss man der Beziehung zwischen Kunde und Outsourcing-Dienstleister Rechnung tragen – und zwar von der Definition der Rahmenbedingungen über die Transformation der Dienste bis zu einem prozessorientierten IT-Service-Management einschliesslich des Service-Managements zwischen Kunde und Dienstleister. Zum Beispiel stellen die FINMA-Outsourcing-Richtlinie 2008/7 und PCI/DSS formale und inhaltliche Anforderungen an die Ausgestaltung der Beziehung zwischen Kunde und Dienstleister, etwa die Schriftform von vertraglichen Abmachungen, die Gewährleistung von Revisionspflichten und Ähnliches.

Um sich im Dschungel der internen und externen Regulierungen, Prozesse und Standards nicht zu verlieren, sollte man intern und im Verhältnis zwischen Kunde und Dienstleister auf eine vereinfachte Darstellung der Prozesse und ein eingängiges Konzept setzen. Standardisierte Dokumente helfen bei der internen Kommunikation und bei der Diskussion zwischen verschiedenen Partnern.

Auf der nächsten Seite: So funktioniert der Dreistufenplan.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.