Herausforderung der Zukunft: Multi-Compliance

von Markus Bereszewski (markus.bereszewski@informationweek.de), Oliver Kuklok, Kirsten Messer-Schmidt

Share
18.12.2008

Herausforderung der Zukunft: Multi-Compliance Die meisten Vorgaben entspringen nicht etwa Gesetzen, sondern Kundenvorgaben und dem Wettbewerb. Mit der richtigen Strategie nehmen Sie die Compliance-Hürden und verschaffen sich sogar einen Vorsprung vor dem Wettbewerb.

Unternehmen sehen sich gegenwärtig mit einer Vielzahl von Anforderungen aus Gesetzen, Normen und branchenspezifischen Standards konfrontiert, die sie in ihre Strukturen und Prozesse integrieren müssen: Basel II, Bilanzmodernisierungsgesetz, ISO 27001, SAS70 oder ITIL. Globalisierung und internationale Märkte verschärfen die Anforderungen weiter, da neben nationalen Regularien auch noch europäische und US-amerikanische Vorgaben umgesetzt werden müssen. So entsteht ein immenser Regelungsbedarf, dem die Unternehmen mit den vorhandenen Ressourcen kaum begegnen können. Die IT-Abteilungen oder IT-Dienstleister der Unternehmen sind von der Implementierung der Anforderungen meist besonders betroffen, da sie einen unverzichtbaren Beitrag zur Wertschöpfung der Unternehmen leisten. Viele der Themen, die unter dem Begriff Compliance gehandelt werden, sind nicht neu. Die Forderung nach Konformität mit Gesetzen ist nicht erst in den letzten Jahren zu einer Richtschnur unternehmerischen Handelns geworden. Die meisten Anforderungen entspringen jedoch nicht etwa Gesetzen, sondern werden durch Wettbewerb und Kunden vorgegeben, wie die ISO 9001, die für die Auftragsvergabe inzwischen eine Conditio-sine-qua-non geworden ist. Je nach Art der angebotenen Dienstleistung oder der produzierten Güter müssen Unternehmen für jeden ihrer Kunden andere Vorgaben erfüllen. So ist es bei IT-Dienstleistern an der Tagesordnung, dass sie einerseits eine Zertifizierung nach ISO 27001 (Informationssicherheit) und nach ISO 20000 (IT Service Management) sowie ein bestimmtes CMMI-Level oder SPICE-Level nachweisen müssen und gleichzeitig noch kundenspezifische Vorgehensmodelle umzusetzen haben. Folgende Fragestellungen können bei der Sicherstellung von Compliance als Leitlinie dienen:
1. Ist die von Kundenseite geforderte Vorgehensweise unantastbar?
2. Wo liegen die Gemeinsamkeiten zwischen den Vorgaben und Regularien?
3. Wo kann auf Vorhandenem aufgesetzt werden?

Anforderungen auf Kundenseite hinterfragen

Die Auftraggeberseite ist meist ebenso überfordert mit der Vielzahl von zu beachtenden Regeln wie die Auftragnehmerseite. Deswegen werden Vorgaben häufig eins zu eins an Dienstleister durchgereicht. In Verträgen wird nur am Rande erwähnt, dass auch Compliance-Aspekte zu erfüllen sind. Das Ausmaß der aus lapidaren Randbemerkungen resultierenden Aufwände wird in diesem Stadium oft nicht hinterfragt. Es ist jedoch sinnvoll, schon zu diesem Zeitpunkt im Gespräch mit dem Kunden zu prüfen, ob bestimmten Anforderungen nicht auch mit Zertifizierungen ­begegnet werden kann, die bereits im Unternehmen existieren. Gerade bei proprietären Testaten, die auf dem Markt kaum bekannt sind, ist es ratsam, Kosten und Nutzen einer weiteren Zertifizierung abzuwägen. Oft werden die Gemeinsamkeiten von Compliance-Themen übersehen. Je nach Gesetz, Norm oder Standard liegt die Betrachtung zwar auf einem anderen Unternehmensbereich (Finanzen, IT, Produktion, Gesamtunternehmen et cetera) oder Informationstyp, doch trotz der unterschiedlichen Schwerpunkte verfolgen die Vorgaben und Regelungen insgesamt vergleichbare Ziele. Diese Ziele sind
• die Vermeidung von Missbrauch und Schaden für das Unternehmen oder seine Stakeholder ( Aktionäre, Kunden, Mitarbeiter) und
• die Etablierung effizienter und effektiver Prozesse zur Erreichung der Unternehmensziele.
Zur Erreichung der Ziele werden einige wenige Kernthemen in den Fokus gestellt:
• Risikomanagement: Ein funktionierendes Risikomanagement erkennt und bewertet frühzeitig Risiken für das Unternehmen und seine Vermögenswerte und stellt den angemessenen Umgang mit ihnen sicher.
• Prozessmanagement: Prozesse müssen dokumentiert, kommuniziert, überwacht und gemessen werden, um geregelte und transparente Vorgehensweisen zu etablieren, Wiederholbarkeit zu gewährleisten und Verbesserungen zu ermöglichen. Dies erfordert auch die Einführung von stabilen Reporting-Strukturen.
• Sicherheit im Umgang mit Informationen: Informationen sind so zu behandeln, dass ihre Integrität, Vertraulichkeit und Authentizität gewahrt bleibt und sie jederzeit verfügbar sind.
• Verantwortung des Managements: Die Unternehmensleitung ist verantwortlich für die Einführung, die Funktionsfähigkeit und Korrektheit aller im Compliance-Umfeld erforderlichen Maßnahmen.
Die Gemeinsamkeiten legen nahe, den unterschiedlichen von außen getriebenen Anforderungen mit übergreifenden Maßnahmen zu begegnen. Die Realität sieht jedoch meist anders aus: Gesetze und Normen werden naturgemäß nicht alle zum gleichen Zeitpunkt unternehmensrelevant. So entstehen sukzessive parallele Management- und Kontrollstrukturen, die von verschiedenen Abteilungen verantwortet und häufig mit großen Widerständen implementiert werden. Am Ende der Kette steht häufig der IT-Bereich, der die Kontrollen systemisch umsetzen muss. Schlimmstenfalls werden heterogene oder auch gegenläufige Methoden der Darstellung und Umsetzung verwendet, die eine spätere Integration der Systeme ausschließen. Es entstehen Insellösungen mit Einmalcharakter; eine einheitliche Vorgehensweise fehlt. Die Folge: Es entsteht ein ausuferndes Berichtswesen, das in erster Linie Mehraufwände generiert. Um der heutigen Multi-Compliance gewachsen zu sein, ist es daher sinnvoll, zunächst die konkreten Anforderungen der einzelnen Gesetzte oder Vorgaben zu analysieren, Überschneidungen festzustellen und zu konsolidieren. Ein durchgängiges Management- und Kontrollsystem kann dann efiizient auf die Anforderungen reagieren. Compliance bedeutet nicht, ein Unternehmen neu aufzustellen, sondern Vorhandenes zu strukturieren, zu dokumentieren und gegebenenfalls zu ergänzen. In den meisten Firmen sind bereits zahlreiche Regeln, Vorgehensweisen und Prozessbeschreibungen an unterschiedlichen Orten vorhanden, die zu diesem Zweck zusammengeführt werden können. Dreh- und Angelpunkt ist dabei ein funktionierendes Risikomanagement, das in das Management- und Kontrollsystem integriert ist. Jede neue Compliance-Anforderung wird nun gegen dieses System abgeglichen – auf fachlicher und IT-technischer Ebene. Die IT ist aufgrund ihrer zentralen Stellung von fast allen Compliance-Themen betroffen und soll Synergien bei der Bereitstellung relevanter Informationen nutzen. Deswegen muss sie unbedingt den Schulterschluss mit der Fachseite suchen, um Vorteile in der Umsetzung zu realisieren und so das gesamte Unternehmen für den Wettbewerb aufzustellen.

Transparenz schaffen

Auch in der Zukunft werden sich Anforderungen aus gesetzlichen Erfordernissen in den Management- und Kontrollsystemen niederschlagen. Es stellt sich die Frage: Welchen Zusatznutzen kann die für die Compliance-Anforderung erforderliche Information der Unternehmenssteuerung bringen? Neben den gesetzlichen Notwendigkeiten sind die durch Marketing und Vertrieb erzeugten Anforderungen von Bedeutung, die zusammen mit den bereits im Unternehmen vorhandenen Regularien das gesamte Management- und Kontrollsystem beschreiben. Mit einem integrierten System können Unternehmen neuen Anforderungen im Markt rasch begegnen und so einen Wettbewerbsvorteil bei gleichzeitig moderaten Kosten erzielen.

Oliver Kuklok, CEO und Kirsten Messer-Schmidt, Senior Consultant von corporate quality consulting