|  |
Compliance – Großer Nutzen, weniger Aufwand
 Als Schlagwort des Jahrzehnts beherrscht Compliance derzeit die Gespräche auf den Vorstandsetagen. Da Compliance alle operativen Aspekte im Unternehmen betrifft, widmen Manager dieser Aufgabe immer größere Aufmerksamkeit. Bisher konzentrierte man sich dabei im Wesentlichen auf die rechtlichen Aspekte des Richtlinienmanagements; neuere gesetzliche Reformen wie Basel II und Sarbanes-Oxley zielen jedoch eher auf den Umgang mit Risiken ab.
Finanzinstitute müssen eine Vielzahl lokaler, nationaler und internationaler Gesetze und Vorschriften für unterschiedlichste Bereiche erfüllen. Diese reichen von der verantwortungsbewussten und transparenten Unternehmens¬führung über den gesetzlichen Datenschutz und den Schutz kundenbezogener Daten bis hin zur Unterbindung beziehungsweise Erkennung gesetzeswidriger Aktivitäten.
Gleichzeitig wird die Struktur von Finanzorganisationen immer komplexer. Operative Aufgaben werden immer häufiger fremdvergeben wenn nicht sogar zur Gänze in andere Länder ausgelagert, weshalb die Reichweite, in dem Compliance-Aspekte zu beachten sind, immer größer wird. Unternehmen müssen deshalb ernsthaft darüber nachdenken, wie sie ihren Pflichten bezüglich der Einhaltung gesetzlicher Vorschriften und Richtlinien gerecht werden.
Compliance wird von vielen Unternehmen als lästige Aufgabe betrachtet, tatsächlich handelt es sich bei den Prozessen, mit denen die Einhaltung von Gesetzen und Vorschriften nachgewiesen wird, letztlich jedoch nur um grundlegende Kontrollmechanismen, die für das Management der betrieblichen Prozesse und Risiken erforderlich sind. Compliance macht diese Kontrollmechanismen für Außenstehende transparent und sorgt dafür, dass sie einer rechtlichen Überprüfung Stand halten. Diese Prozesse und Infrastrukturen sind ganz allgemein ein Sprungbrett zu einer besseren Unternehmensleistung.
Bei Compliance geht es um Vertrauen, Transparenz und Überprüfbarkeit. Die wichtigste Voraussetzung hierfür sind robuste betriebliche Prozesse und eine Unternehmenskultur, in der effektive und nachvollziehbare Kontrollmechanismen grundsätzlich als wertvolle Komponenten betrachtet werden, die zur Förderung eines objektiven, tatsachenorientierten Managements beitragen. Erfolgreiche IT-Organisationen wissen, dass man Menschen, Prozesse und Technologien benötigt, um eine hohe Verfügbarkeit und Sicherheit von Diensten zu erzielen und die fortwährende Einhaltung gesetzlicher Vorschriften und Richtlinien sicherzustellen.
IT-Kontrollmechanismen und hohe Performance
Leistungsstarke und erfolgreiche IT-Organisationen wissen, dass ihre wichtigste Aufgabe darin besteht, das Unternehmen vor Risiken zu schützen. Anstatt sich jedoch primär auf die Einhaltung gesetzlicher Vorschriften zu konzentrieren, streben sie eine Arbeitsweise an, die den eigentlichen geschäftlichen Zielsetzungen in einer Art und Weise gerecht wird, die gleichzeitig die Einhaltung gesetzlicher Vorschriften sicherstellt.
Das bestätigen auch Untersuchungen des IT Process Institute (ITPI) der letzten fünf Jahre, die einen kausalen Zusammenhang zwischen zentralen IT-Kontrollmechanismen und der Effektivität von IT-Organisationen feststellen. Eine der wichtigsten Erkenntnisse ist die Tatsache, dass leistungsstarke und erfolgreiche Organisationen nicht einmal halb so viel Aufwand für Compliance Aufgaben betreiben wie andere Organisationen.
Nach mehrjährigen Untersuchungen von führenden IT-Organisationen und ihren Strategien zur Sicherung optimaler betrieblicher Prozesse veröffentlichte das ITPI das Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps. Die Visible Ops Methodik umfasst einen festgeschriebenen Ansatz für die Entwicklung von IT-Prozessen und IT Kontrollmechanismen, der nicht nur zur Einhaltung gesetzlicher Vorschriften, sondern auch zur Steigerung der Effektivität und Effizienz betrieblicher Prozesse beiträgt. Die Methode besteht aus vier vordefinierten, automatisch ablaufenden Schritten, die eine Organisation von einem beliebigen Ausgangspunkt aus zu einem Prozess führen, der sich kontinuierlich verbessert. Sie hilft IT-Managern so bei der Beantwortung der Frage “Wo beginne ich?”
Visible Ops stellt Instrumente bereit, mit deren Hilfe Auditoren die Wirksamkeit von Prozessen und Kontrollmechanismen überprüfen können, ohne eine forensische Analyse durchführen zu müssen. Dies führt nicht nur zu einer produktiven Zusammenarbeit und zu reibungslosen Revisionen, sondern reduziert auch den Zeitaufwand für Audits und Fehlerbehebungen. Organisationen mit entsprechenden Instrumenten gewinnen mehr Glaubwürdigkeit.
Basis der Visible Ops-Instrumente sind kulturelle Prinzipien und Kontrollmechanismen, mit denen klare Erwartungen definiert werden, wie Aufgaben innerhalb des Unternehmens durchzuführen sind und wie Daten erfasst und als Unternehmensvermögen genutzt werden sollen. Gleichzeitig verfügen Unternehmen mit Visible Ops über die erforderlichen Maßnahmen zur Durchführung von Überprüfungen und zum Abgleich und stellen damit sicher, dass Prozesse wirklich befolgt und eingehalten werden. Darüber hinaus machen Organisationen, die diese Instrumente einsetzen deutlich, dass die Nichteinhaltung der Regeln klare Konsequenzen nach sich zieht.
Auditoren betrachten die Welt oft durch eine Brille, die den Blick nur auf Risiken und Kontrollmechanismen lenkt. Risiken gibt es überall, und Unternehmen sollten diese Risiken möglichst gering halten, indem sie sie entweder gänzlich verhindern oder zumindest erkennen. Tritt der Risikofall tatsächlich ein, sollten Organisationen immer in der Lage sein, das Problem zu beheben und Änderungen vorzunehmen.
Configuration Audit & Control – Überwachung und Überprüfung von Änderungen
Da sich die im Rahmen von IT-Audits gewonnen Erkenntnisse hauptsächlich auf Änderungen beziehen, greifen viele Organisationen auf Change Management Tools zurück, um besser auf Audits vorbereitet zu sein, Risiken zu reduzieren und eine bessere Kontrolle über Änderungen zu haben. Diese Tools sind tatsächlich ausgezeichnete Mittel für präventive und korrektive Maßnahmen. Sie tragen nicht nur zur Automatisierung von Prozessen und zu einer einfacheren Implementierung von Softwarekomponenten bei, sondern reduzieren auch den mit der Verwaltung von Systemkonfigurationen verbundenen Zeitaufwand. Allerdings können diese Tools und Prozesse unbemerkt umgangen werden.
Um möglichen Change Risiken zu begegnen, müssen präventive, identifzierende und korrigierende Kontrollmechanismen implementiert werden. Zu den erforderlichen präventiven Kontrollmaßnahmen gehört die Trennung von Rollen sowie die Autorisierung, Überwachung und Durchsetzung von Änderungen.
Zur Einhaltung der Prozesse müssen identifzierende Kontrollmechanismen vorhanden sein, um die Produktionsumgebung im Hinblick auf Änderungen zu überwachen, diese Änderungen mit autorisierten Änderungen abzugleichen und nicht autorisierte Änderungen zu melden. Dies wird als Configuration Audit & Control bezeichnet.
In zunehmendem Maße verlangen Auditoren eine unabhängige Erkennung und Verifizierung von Änderungen. Hierfür ist mehr erforderlich als das, was einfache Change- und Konfigurationsmanagement-Technologien leisten können. Als wichtige Komponente der Compliance- und Sicherheitsmaßnahmen von Unternehmen erfolgt die Überwachung und Überprüfung von Änderungen unabhängig von den Personen, die für die Genehmigung und Durchführung der Änderungen zuständig sind, um so den Regelkreis effektiver Änderungsmanagementprozesse zu schließen.
Durch Configuration Audit & Control können erkannte Änderungen mit getesteten, autorisierten Änderungen abgeglichen werden, um im Falle einer nicht autorisierten Änderung Alarmfunktionen auszulösen. Darüber hinaus können sämtliche Änderungsaktivitäten objektiv dokumentiert und gemeldet werden, wodurch die IT-Organisation die Wirksamkeit ihrer Kontrollmechanismen nachweisen kann. Durch die Implementierung von Change-Auditing-Funktionen können Sicherheits- und Compliance Prozesse durchgesetzt werden. Dabei wird sichergestellt, dass jeder Versuch zur Umgehung von Prozessen erkannt wird.
Um der wachsenden Zahl von Vorschriften für Finanzdienstleister gerecht zu werden, ist es unerlässlich, die zur Einhaltung der Vorschriften erforderlichen Prozesse in das Gefüge des Unternehmens einzuflechten und damit jede Organisation bei der Begrenzung von Risiken und der nachhaltigen Einhaltung gesetzlicher Vorschriften und Richtlinien zu unterstützen. Wenngleich die Anforderungen der einzelnen Vorschriften variieren, gibt es eine Reihe von Themen, die überall zu finden sind. Eine solch grundsätzliche Forderung ist der Nachweis von IT Kontrollmechanismen.
Die umfassenden Configuration Audit & Control-Lösungen von Tripwire tragen entscheidend dazu bei, den hohen Anforderungen gerecht zu werden die Unternehmen heute im Hinblick auf die Einhaltung gesetzlicher Vorschriften erfüllen müssen. Sie helfen Finanzdienstleistern bei der dauerhaften Erfüllung der zahlreichen gesetzlichen und branchenspezifischen Vorschriften und Richtlinien, die sie berücksichtigen müssen. Weitere Informationen finden Sie im Internet unter www.tripwire.com/fst
03/2007, Paul Gostick
| | Paul Gostick ist EMEA Market Development Manager bei Tripwire. Bevor er zu Tripwire kam, war er bei Sun Microsystems, Digital, Tektronix, Bull HN und Brown Broveri Kent in verschiedenen Funktionen in Technik, Marketing und Management tätig.
 Alle Experten
Publizieren Sie Ihren eigenen Fachbeitrag
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | IT-Sicherheit hat viele Facetten, die weit über den Schutz gegen Viren und Würmer hinausgehen. Noch zu wenig bekannt sind die Gefahren durch unzeitgemäße Auslegungen der physischen Infrastruktur in Serverräumen und Datencentern. Immer höhere ... | |  | | Damit Applikationen Angriffen standhalten, ist die Konzeption und Entwicklung nach Sicherheitsrichtlinien unerlässlich ... | |  | | Die Sicherheitsexperten der GTS warnen seit Jahren vor den immensen Gefahren, die der Wirtschaft, Forschung und Gesellschaft durch den bedenkenlosen Informationsaustausch über das Internet erwachsen können. Doch nicht nur die deutsche Wirtschaft, ... | |  | | Mehrheit der Unternehmen erwarten IT-Sicherheitsvorfälle, zeigen Schwächen in der Prozess-Steuerung und schätzen das Risikopotenzial innerhalb der IT-Abteilungen unterschiedlich ein ... | |  | | Dem dauerhaften Schutz vor Computerviren widmen sich gewerbliche wie private Anwender mit zunehmender Gewissenhaftigkeit. Wenig Beachtung finden dagegen die lauernden Gefahren durch Spannungsschwankungen. Der damit verbundene wirtschaftliche Schaden ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
