2008/10 | Fachbeitrag | Compliance

Compliance – den Regelberg bezwingen

von Helfried Pirker

Inhaltsübersicht:

Weltweit gibt es über 10.000 Compliance-Regeln. Vor allem international operierende Unternehmen müssen zahlreiche dieser Vorschriften beim täglichen Informationsaustausch berücksichtigen. Doch trotz dieser Bestimmungen haben erneute Datenskandale und Schmiergeld-Affären bei repräsentativen Firmen wie Siemens und der Telekom das Image und die Glaubwürdigkeit deutscher Firmen stark geschädigt. So verwundert es nicht, dass damit einhergehend auch die Diskussion um zuverlässige Compliance-Lösungen neu entflammt ist. Die Frage der richtigen Umsetzung stellt sich großen wie mittelständischen Unternehmen dabei gleichermaßen.

 

Konsequentes Risikomanagement

 

Während Großunternehmen über ganze Compliance-Abteilungen verfügen, ist bei Mittelständlern oft der Geschäftsführer selbst für die Einhaltung bestimmter Verhaltenskodizes verantwortlich. Doch gleich, wie viele Mitarbeiter und Abteilungen das Unternehmen umfasst, Prozesse und Informationen müssen für alle Beteiligten transparent sein. Ebenso muss eine zuverlässige Archivierung der Daten garantiert werden – und dies alles unter Berücksichtigung der aktuellsten, höchstmöglichen Sicherheitsstandards.

Um diese Vorgaben zu erfüllen, ist zunächst in allen Bereichen eine gezielte Analyse der möglichen Sicherheitslücken erforderlich. Durch ein solches systematisches Risikomanagement können eventuelle Gefahrenpotenziale von vorneherein entdeckt und gegebenenfalls eliminiert werden.

 

Realistische Forderungen

 

Die Herausforderung für die Unternehmensführung besteht anschließend darin, die internen Richtlinien so zu formulieren, dass sie auch tatsächlich umsetzbar sind. Ein weiterer wichtiger Aspekt bei der Initiierung eines Compliance-Programms ist die Frage der Verantwortlichkeiten. Um spätere Missverständnisse und unnötige Diskussionen zu vermeiden, sollte das Unternehmen daher zu Beginn entscheiden, welche Bereiche genau welchem Mitarbeiter unterstehen. Dazu gehört es natürlich auch, den Betroffenen einen geeigneten Ansprechpartner zur Seite zu stellen. Beim so genannten „Whistleblowing“ nutzen viele größere Unternehmen mittlerweile externe Dienstleister. Über spezielle Homepages oder Hotlines sammeln und beurteilen sie Informationen und Hinweise der Mitarbeiter über Verstöße. Sie informieren die Mitarbeiter zudem, in welchen Fällen eine offizielle Beschwerde angemessen ist, wie sie sich in einer solchen Situation verhalten sollen und welche Risiken damit einhergehen können.

Eine weitere organisatorische Maßnahme ist die Errichtung von „Chinese Walls“. Sie zielt auf die räumliche Trennung von kritischen Geschäftsbereichen und anderen Abteilungen ab. So können sensible Daten nicht Bestandteil des allgemeinen Büroklatsches werden.

 

Umfassende Transparenz

Neben dem Erkennen organisatorischer Risiken besteht für Unternehmen die größte Herausforderung darin, Prozesse lückenlos zu dokumentieren. Vor allem die IT-Abteilungen von Banken und Finanzdienstleistern stehen hier vor einer besonderen Herausforderung. Für sie bedeutet die Flut von Vorschriften eine zunehmende restriktive Belastung. So bestätigt auch eine Studie im Auftrag der Information Week, dass 58 Prozent der IT-Verantwortlichen in deutschen Unternehmen von einem wachsenden Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen Kodizes sprechen. Die im Juni dieses Jahres in Kraft getretene EuroSOX-Regelung, die sich an die US-amerikanischen Gesetze anlehnt, wird diese Entwicklung noch weiter verschärfen. Dieses Gesetz der Europäischen Kommission regelt vor allem die Verwaltung und revisionssichere Archivierung von Dokumenten.

 

IT-gestützte Compliance-Systeme

 

IT-gestützte Compliance-Systeme sollten im Idealfall im Hintergrund agieren. Es handelt sich dabei folglich um automatisierte Prozesse, die die Mitarbeiter nicht zusätzlich beachten oder bearbeiten müssen. Im Falle der Archivierung hieße dies beispielsweise, dass Protokolle oder Dokumente automatisch abgelegt werden, ohne dass sie eines weiteren Handlungsschritts der Bearbeiter bedürfen.

Vorsicht ist jedoch bei der Implementierung geboten! Die IT-Abteilung sollte hier darauf achten, dass nicht wahllos archiviert wird. Speicherplatz ist zwar ein billiges Gut, doch das Prinzip „store everything, manage nothing“ kann die Suche nach den richtigen Dokumenten fast unmöglich machen. Müssen Unterlagen gar im Zuge eines Gerichtsverfahrens vorgelegt werden, können die Konsequenzen gravierend sein. Eine klare Strukturierung und Priorisierung muss daher die Basis jedes IT-gestützten Compliance-Programms sein.

 

Praxisfall: Compliance im Finanzsektor

Für viele Finanzdienstleister stehen die Compliance-Vorgaben in direktem Widerspruch zum wirtschaftlichen Erfolg und der Notwendigkeit, offensiv neue Geschäftsbereiche zu erschließen. Hinzu kommt, dass viele der Kernbankensysteme im Vergleich zur heutigen Entwicklung der IT veraltet und schwerfällig sind. Eine komplett neue IT-gestützte Struktur wäre für einen Großteil der Finanzdienstleister enorm kostenaufwändig und ein zu hohes Risiko. So wird in den meisten Fällen die notwendige Compliance-Struktur um das bestehende System herumgebaut. Oft bringt dies zusätzliche technische Probleme mit sich, da eine reibungslose Zusammenführung unterschiedlicher IT-Strukturen eine außerordentliche Herausforderung darstellt.

Fazit: Chance oder Risiko?

Eine wirkliche Lösung für dieses heikle Dilemma scheint es nur bedingt zu geben. Sie ist eine Frage der Einstellung. Immer mehr Unternehmen, vor allem aus der Finanzbranche, beginnen die Compliance-Frage als Chance zur Umstrukturierung zu betrachten. Sie nutzen die Gelegenheit, veraltete Systeme abzubauen und das Potenzial neuer Synergien und Geschäftsbereiche zu erforschen. IT-gestützte Prozesse haben in den vergangenen Jahren bereits zu einer massiven Steigerung der Effizienz geführt, warum also diese Möglichkeiten nicht im Zuge eines neu implementierten Compliance-Programms nutzen? Eine Herausforderung ist dies ohne Zweifel und sie erfordert Entscheider mit Visionen und Mut zum Risiko. Doch ob der Vorstand bzw. die Geschäftsführung diesen Schritt wagt oder nicht, die Compliance-Thematik werden die Verantwortlichen keinesfalls ignorieren können. Sinnvoll ist es hier, den Medien-Hype um Regelberge und bestehende Unternehmensskandale zu relativieren und eine individuelle Lösung zu finden, die sich an die Struktur und die Mitarbeiter des eigenen Unternehmens anpassen lässt.

Diese Artikel könnten Sie auch interessieren

Externe Kompetenzen – Fehlendes Wissen einkaufen

Schon heute klagen viele Unternehmen über den Mangel an gut ausgebildeten IT-Mitarbeitern. Eine Veränderung auf dem Arbeitsmarkt ist schon allein aufgrund der demografischen Entwicklung nicht in Sicht. Wie wollen Unternehmen also in Zukunft den Wettbewerb um die fähigsten Köpfe finanzieren? Umdenken ist gefragt. Müssen wirklich alle IT-Aufgaben intern erledigt werden? Der Markt für IT-Workplace-Leistu...

Weiterlesen

Unter Verschluss: Wie effizienter Datenschutz gelingt

WISSENplus
Mit den Plänen für das neue IT-Sicherheitsgesetz will die Bundesregierung dafür sorgen, dass Unternehmen in Zukunft durch stärkere Vorschriften effektiver vor Hackern geschützt sind. Unter anderem sollen Cyber-Angriffe unmittelbar den Behörden gemeldet werden, um weiteren Attacken vorzubeugen. Jedoch geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Leitfaden Information...

Weiterlesen

Flexibel & vielschichtig: IT-Sicherheit aus der Cloud

WISSENplus
Viele IT-Sicherheitskonzepte sehen vor, dass die Grenzen des Unternehmensnetzes von innen nach außen geschützt werden – Firewalls, Antivirensoftware oder Intrusion-Prevention-Systeme gelten als Mittel der Wahl. Cyber-Attacken aber sind heute viel zu raffiniert und erfordern neue Schutzmechanismen. Im Unterschied zu internen Lösungen erweisen sich Security-Services aus der Cloud als flexibler und effizi...

Weiterlesen

Endstation Lost & Found - Wenn Daten auf Reisen gehen ...

WISSENplus
Ankunftshalle Flughafen Frankfurt am Main. Thomas Karl, Außendienstmitarbeiter eines mittelständischen Unternehmens der Pharmaindustrie aus dem Schwäbischen ist unterwegs zu einem potenziellen Großkunden seines Unternehmens. Auf dem Weg zum Taxistand dann plötzlich der Schock: Seine Notebooktasche ist weg! Fieberhaft geht Herr Karl die letzten Stunden seit seiner Abreise von der Messe in München durc...

Weiterlesen

Gefahr erkannt – Gefahr gebannt? Sicherheitslücken rechtzeitig erkennen & schließen

Betrüger existieren seit Menschengedenken und sie verfolgen noch immer die gleichen Ziele: täuschen, betrügen, irreführen, Fakten und Prozesse manipulieren. Verändert haben sich nur die Mittel, mit denen Täuschungen durchgeführt werden, sowie die Raffinesse der Täuschungsattacken. Mittlerweile ist Betrug zu einer regelrechten Industrie geworden, deren Auswirkungen auf den globalen Handel sich jährl...

Weiterlesen

Die Informationslawine droht zahlreiche Mittelständler zu überrollen

WISSENplus
„Die E-Mail ist im Postfach meines Kollegen gelandet, können Sie sie mir bitte nochmals schicken?" oder: „Ich kann die letzte Version der Datei gerade nicht finden, werde aber jetzt unseren Netzwerkadministrator um Hilfe bitten", sind Sätze, die Kunden und Mitarbeiter vieler mittelständischer Unternehmen nur zu gut kennen. Auch wenn das papierfreie Büro wohl nie Realität werden wird, so f...

Weiterlesen

KMU & Risikomanagement: Sicherheit beginnt in den eigenen Reihen

WISSENplus
Der deutsche Schriftsteller Christian Anton Mayer (Carl Amery) sagte: „Le risque est l‘onde de proue du succès." Risiko ist die Bugwelle des Erfolgs. Mit anderen Worten: Wer vorankommen will, muss Risiken eingehen. Beispielsweise bringt ein Schiff, das im Hafen vor Anker liegt, dem Reeder nichts ein. Und wer sich als Kapitän auf hoher See befindet, muss Gefahren zu umschiffen wissen und Chancen n...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen