Unternehmen erkennen Nutzen von Compliance nicht


Compliance-Studie: IT-Insellösungen, wie sie Unternehmen heute überwiegend einsetzen, müssen durch übergeordnete Compliance-Systeme abgelöst werden
Externe und interne Bedrohungen sowie zahlreiche Richtlinien und Vorgaben zwingen Unternehmen, sich mit dem Thema Compliance auseinanderzusetzen


(11.10.07) - Die Friedrich-Alexander-Universität Erlangen-Nürnberg, Lehrstuhl für Wirtschaftsinformatik III, hat in Zusammenarbeit mit Novell die Vorteile und Herausforderungen automatisierter Compliance-Lösungen untersucht. Basierend auf Interviews mit Anwenderunternehmen identifiziert die Studie ("Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung") die aktuellen Anforderungen und Vorgehensweisen im Bereich IT-gestützter Compliance und ermittelt die Kostentreiber.

Zudem zeigt sie, in welcher Form Unternehmen auf Compliance-Anforderungen reagieren und wie erfolgreiche Lösungen aussehen können. Das Fazit der Studie: Viele Unternehmen sehen die Erfüllung von Compliance-Richtlinien als reinen Kostenfaktor und unterschätzen den Nutzen der damit verbundenen Automatisierung und Zentralisierung.

Externe und interne Bedrohungen sowie zahlreiche Richtlinien und Vorgaben zwingen Unternehmen, sich mit dem Thema Compliance auseinanderzusetzen. Mit IT-Lösungen können die umfangreichen Anforderungen weitgehend automatisiert erfüllt werden. Wie bei jedem IT-Projekt stellt sich den Unternehmen dabei die Frage nach dem Verhältnis von Kosten und Nutzen.

Der Lehrstuhl für Betriebswirtschaft der Friedrich-Alexander-Universität Erlangen-Nürnberg hat daher gemeinsam mit Novell in einer aktuellen Studie die Anforderungen, Herausforderungen, Ansätze und Strategien sowie Kostentreiber der Umsetzung von Compliance-Richtlinien untersucht und deren Nutzen identifiziert.

Basierend auf umfangreicher Recherche, der Analyse von Sekundärquellen sowie qualitativen Interviews mit Unternehmen verschiedener Größenordnung und Branchen wurde ein Berechnungsmodell für die Rentabilität von Compliance entworfen. Mit diesem konzeptionellen Ansatz lässt sich die Komplexität reduzieren und das Kosten/Nutzen-Verhältnis realistisch bewerten.

Die Ergebnisse der Studie

Die Gespräche mit den Unternehmen und die Analyse der Compliance-Anforderungen zeigen, dass die Treiber für den Einsatz von Compliance-Lösungen sowohl interne als auch externe Anforderungen sind. Die internen Anforderungen spielen dabei eine größere Rolle, so die Befragten. Um die vielschichtigen Compliance-Anforderungen optimal berücksichtigen zu können, empfehlen die Autoren der Studie, zunächst die verschiedenen internen und externen Anforderungen in einem individuellen Katalog zu strukturieren. Nur so können Überschneidungen entdeckt und potentielle Fehlentscheidungen sowie zu kurz greifende Lösungen vermieden werden.

Ein wichtiges Fazit der Studie: Die IT-Insellösungen, wie sie Unternehmen heute überwiegend einsetzen, müssen durch übergeordnete Compliance-Systeme abgelöst werden, um Mehrfachaufwendungen zu vermeiden und gleichzeitig komplexere Anforderungen abdecken zu können.

Die Absicherung einzelner Bereiche vor Industriespionage betrifft eben nicht nur den physischen, sondern auch den logischen Zugriff auf Systeme und Daten. Da die meisten der befragten Unternehmen trotz steigenden Bedarfs nicht planen, das Personal in diesem Bereich aufzustocken, müssen die Prozesse weiter automatisiert werden. 77 Prozent der Befragten gehen davon aus, dass die Möglichkeiten der Automatisierung derzeit noch nicht ausgeschöpft sind.

Kosten und Nutzen von Compliance

"Das Thema Compliance ist nicht nur aufgrund seiner Komplexität, sondern auch aufgrund der nur schwer ermittelbaren Rentabilität so wenig greifbar. Daher variieren die Meinungen bezüglich des positiven Nutzens von Compliance sehr stark", erläutert Prof. Dr. Michael Amberg, Dekan Friedrich Alexander Universität Erlangen-Nürnberg. "Die Studie zeigt, dass es sowohl auf Kosten- als auch auf Nutzenseite noch zu wenig Transparenz gibt."

Die Berechnung des Return on Investment wird heute häufig vernachlässigt, so die Studie. Sowohl die Kosten als auch die Einsparungen fallen in unterschiedlichen Bereichen im Unternehmen an, zum Beispiel in der Finanz-, Personal und Kommunikationsabteilung sowie natürlich in der Allgemeinen Verwaltung und der IT-Abteilung und werden daher in der Regel nicht systematisch erfasst.

Den Software-, Trainings- und Überwachungskosten für die Umsetzung von Compliance-Lösungen stehen bei einer Missachtung der Richtlinien und Anforderungen mögliche Strafzahlungen, Systemausfälle sowie Image- und Informationsverluste gegenüber. Kosumenten kaufen schließlich dort ein, wo sie sich sicher sein können, dass ihre Daten nicht missbraucht werden.

Zu den Vorteilen durch Compliance-Lösungen zählen geringere Helpdesk- und Administrations-Kosten, weniger Aufwand für Berichte und Reports sowie erhöhte Sicherheit. Zudem werden Prozesse deutlich optimiert, da sie standardisiert, transparenter und ausgereifter und dadurch effizienter sind und die Prozess-Verantwortlichen eindeutig definiert werden. Die interne Kontrolle wird verbessert und Unternehmen können zukünftige Verbesserungen flexibler angehen.

Ein wichtiger Nutzen-Aspekt, der oftmals außer Acht gelassen wird, ist außerdem die Wettbewerbsfähigkeit. Wenn Unternehmen Daten durch Sicherheitslücken verlieren, büßen sie deutliche Wettbewerbschancen ein. Unternehmen, die sich nichts zuschulde kommen lassen, erhalten automatisch einen Vetrauensvorschuss.

Empfehlungen für Unternehmen

Die Einhaltung von Compliance ist kein Einmalaufwand, sondern eine permanente Aufgabe. Die Anforderungen werden nicht zuletzt aufgrund der Umsetzung der 8. EU-Prüfrichtlinie auch in Zukunft weiter steigen. Unternehmen sollten daher eine ganzheitliche, langfristige Lösung anstreben und dabei die Nutzen-Effekte maximieren.

Nach einer Beobachtung der ISACA (Information System Audit and Control Association) stehen sieben der zehn häufigsten Compliance-Verstöße in direktem Bezug zu Identitätsmanagement. Durch den Einsatz von IT-Lösungen, insbesondere Identitätsmanagement, können Abläufe automatisiert und das Reporting deutlich vereinfacht werden, so die Experten. Als Nebeneffekt wird die Sicherheit erhöht.

"Für die Zukunft ist es unerlässlich, den aktuellen Compliance-Ansatz zu einem strategischen Instrument der Unternehmensführung auszubauen. Isolierte Maßnahmen helfen hier wenig. Governance, Risikomanagement und Compliance müssen als Gesamtlösung weiterentwickelt werden", so Marina Walser, Director Identity and Security Management, Novell Central Europe. "Es zahlt sich aus, die Komplexität zu verringern und damit Kosten zu reduzieren und die Sicherheit zu erhöhen, die anstehende 8. EU-Richtlinie wird die Anforderungen an Unternehmen noch verstärken." (Novell: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen