Die Umsetzung einer effektiven IT-Governance, die von gesetzlichen Auflagen wie SOX (Sarbanes-Oxley Act) oder branchenspezifischen Regulationen wie Basel-II gefordert wird, bereitet sowohl den CEOs als auch den CIOs Kopfzerbrechen. Gemäss einer Umfrage der Softwareschmiede CA (Computer Associates) und CSC Ploenzke sieht ein Löwenanteil der Unternehmen die grösste Herausforderung in diesem Zusammenhang darin, an konkrete Informationen über die entsprechenden Anforderungen an die Betriebsabläufe, Prozesse und Infrastrukturen zu kommen. Aufgrund dieser mangelnden Übersicht schätzen viele Firmen den Compliance-Aufwand als sehr hoch ein und setzen daher die gesetzlichen Vorgaben nur zögerlich und oft nur in Form unkoordinierter Einzelmassnahmen durch, schlussfolgert der Report.

Hannes Lubich, Security-Stratege bei CA und Privatdozent an der ETH Zürich, plädiert für einen Gesinnungswandel: «Die Verantwortlichen müssen ihren Blickwinkel öffnen, Compliance kann nämlich auch eine substanzielle Chance sein.» Es gelte, so Lubich, bei der Erfüllung der Regulatorien mit einer klugen und ganzheitlichen Strategie nach Synergien mit der Führung und Gestaltung der gesamten Unternehmens-IT zu suchen. Die Compliance-Bemühungen könnten durchaus dazu genutzt werden, Risiken besser wahrzunehmen, Prozesse transparenter und schlanker zu gestalten und damit die Betriebskosten zu senken oder die -Business-Performance zu erhöhen, so Lubich.
Dass der Weg zu einer effektiven IT-Governance aber nicht unbedingt ein ebener ist, bestreitet Lubich nicht. «Doch wenn vor der eigentlichen Umsetzung eine übergreifende und auf die Nutzung von Synergien ausgerichtete Projekt- und Bewirtschaftungsplanung steht, können die für die Anpassung an rechtliche und regulatorische Vorgaben notwendigen Arbeiten einen echten Zusatznutzen für das Unternehmen erbringen, anstatt als reine Kostenblöcke im IT-Budget zu erscheinen.»