Richtlinien einhalten und Geschäftsprozesse optimieren

• Home
• Magazin
• Know How
• Compliance & Governance

Ständig gibt es neue Verordnungen und Richtlinien für Unternehmen. Entsprechend steigt der Aufwand für die Compliance und die Prozesse werden immer komplexer. Ein neuartiges Modell von Microsoft sorgt durch ein umfassendes Rahmenwerk für eine effiziente, automatische Einhaltung der Richtlinien. Gleichzeitig lassen sich dadurch Geschäftsprozesse optimieren.

In vielen Unternehmen macht die Rechtsabteilung oder ein externer Dienstleister die Geschäftsführung auf neue Gesetze, Verordnungen oder Richtlinien aufmerksam. Diese klärt anschließend gemeinsam mit den zuständigen Bereichen den Handlungsbedarf. Dabei gehen die meisten Firmen zu recht pragmatisch vor. Während sie einige Regelungen wie Gesetze zu Datenschutz und Wirtschaftsrecht sowie firmeninterne oder rechtlich nicht verbindliche Standards befolgen, beobachten oder ignorieren sie andere. Dies ergab kürzlich eine Umfrage der Experton Group bei deutschen Unternehmen mit mehr als 1.000 Mitarbeitern.

Eine reaktive Befolgung von Regeln führt aber zu einem Sammelsurium von Einzelmaßnahmen, die nach einiger Zeit nicht mehr nachzuvollziehen sind. Diverse Compliance-Prozesse laufen dabei parallel ab oder behindern sich sogar gegenseitig. Dadurch steigt der Aufwand sehr schnell und die komplexen Prozesse verbrauchen unnötig Ressourcen.

Viel einfacher und effizienter ist dagegen ein umfassendes Rahmenwerk, das auf übersichtliche, kontrollierbare und vor allem effiziente Weise für Compliance sorgt. Ein solches hat nun Microsoft im Whitepaper "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung" beschrieben, das kostenlos im Microsoft Downloadcenter heruntergeladen werden kann. In diesem Dokument wird ein innovatives "IT-Infrastruktur Compliance Reifegradmodell" vorgestellt, das Unternehmen dabei hilft, die Reihenfolge der Vorgehensweise umzukehren. Statt reaktiv mit unstrukturierten Einzelmaßnahmen auf neue Verordnungen zu reagieren, können sie über eine gesamtheitliche Compliance-Struktur weitgehend automatisch bestehende und zukünftige Regeln einhalten.

Dies funktioniert natürlich nicht über die buchstabengetreue Befolgung einzelner Vorgaben. Stattdessen basiert dieses Rahmenwerk auf den übergeordneten Zielen der meisten Richtlinien: Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt. Diese Intentionen werden in den einzelnen Verordnungen nur auf unterschiedliche Weise umgesetzt und ausformuliert. Entsprechend muss das umfassende Rahmenwerk dann bei Bedarf auf einzelne Regeln angepasst und feinjustiert werden.

Dieses Rahmenwerk dient aber nicht nur der effizienten Einhaltung von Richtlinien. Gleichzeitig sorgt es für Synergien zwischen Compliance und Geschäftsoptimierung. Denn durch automatisierte Compliance-Prozesse lassen sich auch Business Workflows verbessern. So können Arbeitsprozesse, Kosten, Transparenz und Nachvollziehbarkeit optimiert werden. Auch das Change Management wird durch die größere Übersichtlichkeit deutlich erleichtert.

Eine Voraussetzung für effiziente, umfassende Maßnahmen ist, dass sie auf Standards basieren. Diese bilden auch die Basis für viele firmeninterne oder allgemeingültige Richtlinien und Verordnungen. Dazu gehören COBIT, ITIL, oder ISO/IEC 27005:2008. Viele IT-Systeme und -Anwendungen sind bereits für die Einhaltung dieser Standards vorbereitet und haben entsprechende Funktionen und Maßnahmen integriert.

Allgemein lassen sich aus den übergeordneten Zielen fünf Kernbereiche für die IT-Infrastruktur des Unternehmens ableiten: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Bei sorgfältiger Umsetzung dieser Bereiche erfüllen Unternehmen bereits eine Vielzahl von Regelungen. Die Kernbereiche können aber auch als gemeinsame Nenner für die Kommunikation über verschiedene Entscheidungs- und Umsetzungsebenen hinweg dienen. So entsteht ein gemeinsames Verständnis von Geschäftsführung, technischen Entscheidern und IT-Experten. Dies erleichtert die unternehmensweite, abteilungsübergreifende Adressierung der Bereiche.

Da die meisten Unternehmen bereits entsprechende Maßnahmen durchführen, ist es in der Regel nicht nötig, die IT-Infrastruktur komplett neu zu gestalten. Es müssen nur die bestehenden Komponenten identifiziert, genutzt, miteinander verbunden sowie gegebenenfalls optimiert und ergänzt werden. Durch Anpassungen der bestehenden Systeme wie Aktivierung von Funktionen, korrekter Konfiguration oder richtigem Einsatz der Software lassen sich oft schon mit einem Fünftel des Gesamtaufwands 80 Prozent der regulatorischen Anforderungen erfüllen.

Link zum PDF: Whitepaper "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung"

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema