Businessfragen für den CIO

von Markus Bereszewski (markus.bereszewski@informationweek.de), Philipp Sander

Share
23.04.2009

Businessfragen für den CIO Governance, Risk und Compliance (GRC) fällt in das Ressort Wirtschaft und Recht. Aber der Druck auf CIOs, sich mit den vielfältigen betriebswirtschaftlichen Fragestellungen zu befassen, steigt rasant. Die starke Zunahme an Risiken kann heute das schnelle Aus für Unternehmen bedeuten.

Compliance wird für die IT oftmals stark vereinfacht mit Datensicherung oder Verschlüsselung übersetzt. GRC fordert allerdings nicht nur, dass wir Daten möglichst gut verschließen. Auch der schnelle Zugriff auf das »Wissen des Unternehmens« ist Grundlage für erfolgreiches Risiko- und Compliancemanagement. Verantwortliche müssen alle Informationen unter Kontrolle behalten, um potenzielle Gefahren zu erkennen und abzuwehren. Dazu gehört auch die Einhaltung der wachsenden Flut an Gesetzen und internen Auflagen. Ein sehr plakatives Beispiel für die Anforderungen an das Informationsmanagement sind Rechtsstreitigkeiten. Riesige Datenmengen müssen schnell wieder­hergestellt werden, denn als Kläger oder Angeklagter geht es darum, Beweise schwarz auf weiß zu präsentieren. Manuell ist die Sammlung und lücken­­lose Bereitstellung von gerichtsverwertbarem Material kaum möglich. Sie bindet personelle Res­sourcen gegebenenfalls über Monate und fügt Unternehmen mehrere Millionen Euro Schaden zu. GRC muss für die IT eher Intelligence & Compliance Management (ICM) bedeuten, also die effiziente Bereitstellung von Informationen, um Compliance-Ziele in allen Unternehmensbereichen zu erfüllen.

Vielfältige Informationsspeicher

Unternehmen verfügen in der Regel über vielfältige Informationsspeicher: ERP- oder CRM-Systeme und Kommunikationsanwendungen wie E-Mail und Internet. Hinzu kommen complianceorientierte Infrastrukturen wie Archivsysteme, die den Schutz gespeicherter Inhalte sicherstellen. Da ein Bindeglied fehlt, können Mitarbeiter diese Gefäße heute nur isoliert betrachten und durchsuchen. Mit einer umfassenden ICM-Strategie schafft die IT im ersten Schritt eine zentrale Drehscheibe für das Wissen des Unternehmens. Dazu werden papierbasierte Daten elektronisch erfasst, alle Speicherorte identifiziert und angezapft. Der Anwender gibt schließlich einen Suchauftrag über die ICM-Plattform ein und das System durchforstet die angeschlossenen Quellen. Passende Inhalte werden gefiltert und automatisch bereitgestellt. Herzstück dieses Ansatzes ist ein sogenannter Intelligent Data Operating Layer (IDOL). Es handelt sich dabei um ausgefeilte Suchtechnologie, die Inhalte jeder Art (text- oder sprachbasiert, unstrukturiert oder strukturiert) unabhängig vom Speicherort und dem Format »verstehen« kann. Die Bearbeitung von Rechtsstreitigkeiten zählt zu den reaktiven Aufgaben der GRC-Manager. Viel besser ist es natürlich, Gefahren wie riskante Investitionsprojekte, Korruption, Betrug oder dubiose Geschäfte im Zusammenhang mit Geldwäsche und Terrorismus frühzeitig aufzudecken und aktiv abzuwehren. ICM muss daher global betrachtet sicherstellen, dass Führungskräfte immer umfassend informiert sind und rechtzeitig mit den relevanten Fakten versorgt werden.

Neue Herausforderungen für IT

Das stellt die IT vor neue Herausforderungen. Die interne Wissensbasis reicht nicht aus, um sich vor den genannten Risiken zu schützen. Aktuelle Nachrichten und spezifische externe Daten sind erforderlich. So wird kontinuierliche Medienbeobachtung beziehungsweise die Integration der sogenannten Open Source Intelligence (OSINT) unerlässlich. Mit OSINT können Entscheidungsträger ihr Wissen über Personen, Organisationen, Märkte und Produkte um tagesaktuelle Informationen erweitern. Wichtigste OSINT-Quellen sind Datenbanken privater Content Provider wie Thomson-Reuters/ProQuest, Dow Jones oder World-Check. Sie müssen in das ICM eingebunden werden, wobei spezielle Anforderungen wie die Geheimhaltung von Recherchen zu berücksichtigen sind.

Philipp Sander ist Mitglied der Geschäftsleitung von Scalaris