Die Umsetzung von Richtlinien, Standards und gesetzlichen Vorschriften steht nach wie vor weit oben auf den Agenden heimischer Unternehmen. "Die Relevanz von Compliance ist ungebrochen, die von IT-Compliance im Speziellen hat sogar zugenommen", weiß Gunther Reimoser, Partner bei Ernst & Young und Leiter der IT Advisory Risk Services.

Als wichtigen Treiber dafür sieht er das Unternehmensrechtsänderungsgesetz von 2008, dessen Umsetzung "sich erst seit letztem Jahr so richtig manifestiert". Die vormals schwammigen Formulierungen in Bezug auf ein "angemessenes" internes Kontrollsystem (IKS) und Risikomanagement sind einem klaren Prüfungsauftrag gewichen. "Der Aufsichtsrat ist nun in die Pflicht genommen. Ein Prüfungsausschuss muss klar nachweisen, wie er die Wirksamkeit von IKS und Risk Management überprüft hat." Reimoser ortet derzeit viele Projekte mit dem Ziel, Systeme zu implementieren, die messen können, wo die Compliance erfüllt wird und wo man noch Nachholbedarf hat.

Daniel Baur, Partner bei Accenture Österreich, sieht die IT zunehmend in einer Schlüsselrolle. "Die IT-Compliance ist aufgrund der Wichtigkeit von Informationstechnologie für das unternehmerische Handeln eine notwendige Voraussetzung für das Erreichen von Compliance auf Unternehmensebene", so Baur. Insbesondere die Implementierung und Überwachung von Security-Richtlinien ist ein hoch aktuelles Thema. Die Firmen werden mit immer mehr Sicherheitsanforderungen konfrontiert, zum einen mit Mandaten der Industrie wie PCI-DSS zur Einhaltung von Sicherheitsstandards bei Online-Kreditkartengeschäften, aber auch mit immer mehr Anforderungen durch den Gesetzgeber für den Schutz von persönlichen Daten der Kunden und Mitarbeiter.

Mehr Automatisierung

Aufgrund der Fülle der Anforderungen denken derzeit viele CIOs über Automatisierungs- möglichkeiten nach. Dazu Baur: "Die Durchführung von Kontrollen zur Vermeidung oder Aufdeckung von Compliance-Risiken ist immer noch ein stark manuell geprägter Prozess. Durch die Nutzung von bewährter Informationstechnologie kann er deutlich effektiver und effizienter durchgeführt werden." Branchen mit hoher Risikoausprägung wie der Bankensektor brauchen auch ein effektives und effizientes Kontrollumfeld, das sich nur durch Automatisierung sicherstellen lässt, so Baur. Bei international tätigen Unternehmen ortet er auch einen deutlichen Trend zur Konsolidierung unterschiedlicher nationaler Bestimmungen, um die Regelflut zu reduzieren: "Durch die zentrale Zusammenlegung der Verwaltung von Regulatorien, Vorschriften und Kontrollen können Überschneidungen aufgedeckt und die Effizienz erhöht werden."

Unternehmen aus dem Finanzsektor, die hohe Compliance-Anforderungen erfüllen müssen, haben in der Regel bereits eine sehr ausgereifte Compliance-Kultur entwickelt und investieren auch am meisten in diesen Bereich. Im öffentlichen Sektor und im Gesundheitswesen wird ebenfalls stark in verschiedene Bereiche der von IT-Sicherheit und Compliance investiert. Zunehmend ist auch der Telekom-Sektor durch die EU Data Retention Directive EU 2006/24/EC und die Neugestaltung der Data Privacy Directive EU 2002/58/EC mit neuen gesetzlichen Anforderungen zum Thema Datenschutz und Privatsphäre konfrontiert.

KMU haben Nachholbedarf

Im Gegensatz zu Großunternehmen und den erwähnten besonders exponierten Branchen verfügen kleinere Unternehmen meist nicht über dedizierte IT-Sicherheits-, Risiko-, oder Compliance-Mitarbeiter, sodass das Thema der Informations- und Infrastruktursicherheit oft vernachlässigt wird. Dabei befinden sich auch Mittelständler zunehmend im internationalen Wettbewerb, verfügen über Niederlassungen im Ausland und sind daher mit immer komplexeren Compliance-Anforderungen konfrontiert.

"Compliance-Maßnahmen werden bei KMU häufig ad-hoc und bedarfsgetrieben durchgeführt, was zu hohen fallbasierten Aufwänden und intransparenten Kosten führt", weiß Bauer. Die etablierte Praxis aus den Großkonzernen zeige, dass ein richtig aufgesetztes, proaktives Compliance Management zu einer effektiveren und kostengünstigeren Steuerung der Risiken führe. KMU könnten damit nicht nur die rechtlichen Risiken für das Unternehmen selbst verringern, sondern insbesondere auch Fragen der persönlichen Haftung von Geschäftsführern und Gesellschaftern besser berücksichtigen.

Die Befolgung von Gesetzen ist aber nur ein Teil von Compliance, betont Guido Sanchidrian, Principal Product Marketing Manager EMEA bei Symantec. "Auch die Einhaltung von nicht-gesetzlichen Regelungen ist von großer Bedeutung. Viele bewährte Standards und Referenzmodelle sind heute am Markt anerkannt. Eine Nichtbeachtung kann zu Reputationsverlust führen und Wettbewerbsnachteile nach sich ziehen." Der Informationssicherheitsstandard ISO/IEC 27001, der IT Grundschutz nach BSI oder das Referenzmodell CoBIT sind laut Sanchidrian "ein sehr guter Start für die Einführung eines ganzheitlichen Ansatzes", da solche Standards meist mit "bewährte Praktiken" inkludieren.

Compliance als Business Case

"Compliance kostet zwar etwas, bringt aber auch einen Return", betont Bernhard Bizjak, IT-Architekt der IBM Software Group. "Standards wie ISO 27000 helfen dabei, die wesentlichen, besonders schützenswerten Assets und unternehmenskritischen Daten zu identifizieren. Dann wird auch schnell klar, wo man in zusätzliche technische Barrieren investieren sollte." Besonderes Augenmerk sollte dabei dem Zugriffs-, und Berechtigungsmanagement gelten, meint Bizjak. "Wenn man Transparenz und Nachvollziehbarkeit will, braucht es standardisierte Prozesse, um nachzuweisen, wer wann etwas verändert und wer wann auf etwas zugegriffen hat. Papier ist geduldig. Policies allein reichen nicht. Wichtig sind Dokumentation und Auswertung. Es sind Systeme notwendig, die auf Basis der geltenden Policies verlässliche Reports liefern."

Ernst&Young-Partner Reimoser ortet überhaupt einen Paradigmenwechsel hin zu einer "integrativen Compliance". Neben Gesetzen, dem IKS oder Sicherheitsstandards würden zunehmend auch Qualitätsstandards wie IS0 9000 oder ITIL und die explizite Überprüfung von Service Levels in die Compliance Management Systeme Einzug halten. "Compliance wird immer mehr in die operative IT eigebettet, sie wird ein Mittel, um eine Qualitätsverbesserung in den Prozessen zu erzielen."

Und wenn die Servicequalität für die Kunden messbar erhöht werde, seien auch die Mitarbeiter motivierter, sich an Compliance-Regeln zu halten, weil sie "den direkten Nutzen" erkennen. "Wenn bei der Risikobewertung nur die Strafen für Non-Compliance betrachtet werden, greift das zu kurz. Die Kosten, die durch mangelhafte Prozesse verursacht werden, sind oft um ein Vielfaches höher. Compliance bringt mehr Geschäfts- und Wertorientierung in die IT und wird dadurch zum Business Case", so Reimoser.