Sie sind hier: Home » Produkte » Compliance-Management

Aufbau einer Compliance-Management-Lösung


Mehrstufigen Lösungsansatz zur Einhaltung interner und externer Compliance-Richtlinien - Professionelle Provisioning-Lösungen können helfen
Die achte EU-Richtlinie besagt, dass börsennotierte Unternehmen und Organisationen öffentlichen Interesses interne Kontrollsysteme und gegebenenfalls interne Revisions- und Risikomanagementsysteme aufsetzen und deren Wirksamkeit gewährleisten müssen


(25.10.07) - Risiko-Management, Corporate Governance und Compliance zählen zu den heißen IT-Themen der kommenden Jahre. Die Untersuchung von Gartner "The 2007 Compliance and Risk Management Planning Guidance: Governance Becomes Central" belegt diesen Trend.

Der Grund für die zunehmende Popularität: Sicherheitslücken durch die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen stellt die bisherige Praxis bei der Verwaltung und Kontrolle von Zugriffsrechten in Frage. Hinzu kommen bereits bestehende und verabschiedete Richtlinien und Gesetze - wie etwa das Bundesdatenschutzgesetz, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder EuroSOX, die kommende achte EU-Richtlinie - die eine striktere Einhaltung von Compliance-Vorgaben fordern.

Der Weg zu einer IT, die die Compliance erfüllt, ist jedoch steinig. Hilfreich ist ein methodischer Ansatz, der den schrittweisen Aufbau einer Management-Lösung für Benutzer, Identitätsdaten, Rechte und Ressourcen erleichtert. Mit der Lösung "cMatrix" von econet lässt sich ein hoch automatisiertes System schaffen, das die Basis für regulatorische Konformitätsmaßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bildet. Dieses umfasst sowohl deren Erteilung und Entzug als auch Nachweis und Kontrolle.

In einem ersten Schritt erhalten IT-Abteilungen die Möglichkeit, Berechtigungen aus historisch gewachsenen Dateistrukturen per Werkzeug auszulesen. Damit lassen sich bereits erste dringliche Fragen - wie etwa zu Dateiberechtigungen - klären. Anschließend können Datei- und Rechtestrukturen automatisiert in eine frei wählbare Zielstruktur übernommen werden.

Aus den Analysen des Ist-Zustandes und den Vorgaben über die neue Dateistruktur lassen sich so bereits frühzeitig aussagekräftige Reports über potenzielle Auswirkungen und Abläufe des zukünftigen Zielszenarios generieren. Das Resultat: Nach der Prüfung und Freigabe des Reports durch Fachabteilungen und Administration strukturiert die Transformationslösung von econet die Dateisysteme entsprechend der Vorgaben automatisch neu. Darüber hinaus werden die Dateistruktur reorganisiert und Berechtigungen aktualisiert. Unternehmen erhalten so mit wenig Aufwand ein genormtes Dateisystem mit standardisierten Zugriffsregelungen für einen effizienten IT-Betrieb.

Als nächsten logischen Schritt zur Erfüllung regulatorischer Anforderungen an die IT nennt econet die Einführung eines standardisierten und automatisierten Fileservice Managements. Damit sind IT-Administratoren in der Lage, Dateistrukturen und Berechtigungen regelbasiert zu verwalten. Klar definierte Prozesse für die Versorgung von Abteilungen, Projektgruppen und einzelne Mitarbeiter mit Projekt- und Dateiablagen sorgen dafür, einen erneuten Wildwuchs zu verhindern. Wichtig dabei: Prozesse und Prozessschritte sind bei dieser Vorgehensweise stets nachvollziehbar.

Um Risiken wie nicht gelöschte Benutzerkonten ehemaliger Mitarbeiter, inkonsistente Zugriffsbedingungen oder die Fehler bei der manuellen Administration zu vermeiden, wird ein umfassendes Management von Anwendern und Identitäten, Rechten und Ressourcen nötig. Hier helfen professionelle Provisioning-Lösungen, die die Abwicklung von Geschäftsprozessen vereinfachen und beschleunigen.

Dazu gehören die Erstellung und Verwaltung digitaler Identitäten und Kennungen, die Realisierung von rollen- und mandantenbasierten Berechtigungskonzepten, Self-Service-Funktionen mit gesicherten Genehmigungs- und Freigabe-Workflows sowie umfassende Reporting- und Audit-Funktionen. Hinzu kommen die sinkende Fehleranfälligkeit bei steigendem Automatisierungsgrad, eine hohe Qualität und Aktualität der Daten sowie die Risikominimierung bei Prozessänderungen durch konsequentes Regelmanagement.

Max Peter, Vorstand und CEO der econet AG, untermauert die hohe Relevanz einer gesetzeskonformen IT-Umgebungen mit gesetzlichen Argumenten: "Die kürzlich verabschiedete achte EU-Richtlinie besagt, dass börsennotierte Unternehmen und Organisationen öffentlichen Interesses interne Kontrollsysteme und gegebenenfalls interne Revisions- und Risikomanagementsysteme aufsetzen und deren Wirksamkeit gewährleisten müssen."

Diese europäische Vorschrift müsse ab dem 29. Juni 2008 in nationales Recht umgesetzt werden und nehme in hohem Maße auch Einfluss auf die IT im Unternehmen. Bei der Einhaltung der Compliance im IT-Umfeld sei ein zentraler Aspekt, wer auf welche Informationen im Unternehmensnetzwerk zugreifen könne. Dass Management und Aufsichtsrat unter Umständen persönlich haftbar gemacht werden können, sei hinlänglich bekannt. "Vielen IT-Verantwortlichen fehlt es jedoch sowohl an praxisorientierten Informationen, als auch Tools, um diese Herausforderungen zeitgerecht meistern zu können", lautet Peters Fazit. (econet: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Compliance-Management

  • Prävention von Finanzkriminalität

    In diesem Jahr sind bereits neue Geldwäschegesetze wie die 5. EU-Geldwäscherichtlinie, VSB 20 und die Geldwäschereiverordnung-FINMA (GwV-FINMA) in Kraft getreten. Für 2021 ist in der Schweiz eine weitere Änderung des Geldwäschereigesetzes (GwG) angekündigt. Um die neuen Regularien zeitgerecht umsetzen zu können, haben Flexibilität und die schnelle Anpassungsfähigkeit von Compliance-Regeln für Banken und Finanzdienstleister höchste Priorität. Avaloq erweitert die bestehende Partnerschaft mit Actico, einem führenden internationalen Anbieter von Lösungen für intelligente Automatisierung und digitale Entscheidungsfindung. Die beiden Unternehmen verbinden die "Actico Compliance Suite" mit Avaloqs Software-Lösung für Banken und Vermögensverwalter. Kunden von Avaloq eröffnet sich so die einfache Möglichkeit, das neue Compliance-Angebot als standardisierte Lösung zur Prävention von Finanzkriminalität einsetzen zu können.

  • EuGH: Deutsche Staatsanwaltschaft nicht unabhängig

    Der Europäische Gerichtshof (EuGH) stellt in seinen Urteilen vom 27. Mai fest, dass deutsche Staatsanwaltschaften nicht hinreichend unabhängig gegenüber der Exekutive sind. In dem zugrundeliegenden Verfahren wurde Litauen hingegen die nach EU-Recht nötige justizielle Unabhängigkeit attestiert. Deutsche Staatsanwaltschaften dürfen künftig keinen Europäischen Haftbefehl mehr ausstellen, da die Gefahr einer Einflussnahme durch die Exekutive bestehe, etwa durch ein Justizministerium.

  • Governance, Risk und Compliance

    Die avedos business solutions GmbH, eine Lösungsanbieterin im Bereich Governance, Risk und Compliance (GRC), veröffentlichte mit Version 5 von "risk2value" eine aktualisierte Softwareversion ihrer GRC-Plattform. Neu sind erweiterte Auswertungsmöglichkeiten, eine individualisierbare Benutzeroberfläche der wichtigsten Funktionen und die Möglichkeit, Arbeitsabläufe und Prozesse individuell zu konfigurieren.

  • Fortlaufende Aufzeichnung des Compliance-Status

    Mit dem "AvePoint Compliance Guardian" stellte AvePoint die nächste Generation ihrer Lösungen vor, die Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Sicherheitsrichtlinien unterstützen. Das Produkt soll die Lücke zwischen Compliance, IT und Business schließen. AvePoint Compliance Guardian ermöglicht Unternehmen weltweit, solide Rahmenbedingungen für ein Risk Management zu schaffen, das zentrale Compliance-Bereiche und Risikobereiche abdeckt.

  • GRC-Prozesse schnell und wirksam verbessern

    Gefährliche Produktionsmängel bei Top-Herstellern, Bilanzskandale mit Auswirkungen auf die globale Ökonomie, Korruptions- und Betrugsaffären sowie die aktuelle Diskussion um Datenschutz und -sicherheit führen zu einer Verschärfung externer Vorgaben sowie interner Kontrollsysteme und Richtlinien. Dadurch nimmt die Bedeutung von Governance, Risk Management und Compliance (GRC) stetig zu. Vor diesem Hintergrund hat die Management- und Technologieberatung BearingPoint in Kooperation mit der Technischen Universität München den Reifegrad von GRC-Organisationen innerhalb von Industrieunternehmen in Deutschland, Österreich und der Schweiz untersucht. Die Studie zeigt: Eine GRC-konforme Unternehmenskultur ist noch sehr wenig etabliert. Die Automatisierung von GRC-Prozessen könnte die Abläufe zudem erheblich verbessern. Darüber hinaus liegt noch viel Potenzial in den offenen Integrationsmöglichkeiten von GRC in bestehende operative Prozesse.

  • Compliance bei Softwarelizenzierung

    Flexera Software gab eine wesentliche Erweiterung ihrer Compliance-Managementlösung für Anwendungshersteller bekannt. Die erweiterte Lösung unterstützt die immer beliebteren nutzungsbasierten, "trust by verify" Softwarelizenzmodelle. Anwendungshersteller sind damit in der Lage, ihre Softwareerlöse zu maximieren und Umsatzeinbußen zu vermeiden. Die marktführende Compliance-Managementlösung verleiht Anwendungsherstellern jetzt die Flexibilität, jedes Softwarelizenzmodell aus dem gesamten vorhandenen Spektrum zu implementieren - von der strikten Nutzungsvorgabe bis hin zu variablen, nutzungsbasierten Modellen mit kontrollierter Abrechnung. In 20.000 Anwendungen ist bereits das Lizenzmodell mit strikter Nutzungsvorgabe auf Basis der Compliance-Managementlösung von Flexera Software implementiert.

  • Compliance im SharePoint-Umfeld

    AvePoint, Anbieterin von Softwarelösungen für Governance und Infrastrukturmanagement von Microsoft SharePoint, präsentiert mit "AvePoint Compliance Guardian" die neueste Version ihrer Softwarelösung für den sicheren Schutz von Unternehmensinhalten, die mit SharePoint verwaltet werden. Compliance Guardian stellt sicher, dass Informationen innerhalb von Collaboration-Umgebungen nur für berechtigte Anwender verfügbar sind, nicht jedoch für Unbefugte. Compliance Guardian hilft Unternehmen, ihre IT-Infrastruktur proaktiv vor riskanten Sicherheitslücken, unerlaubten Daten oder Missbrauch zu schützen. Zugleich wird sichergestellt, dass sämtliche Vorgänge und Inhalte in diesen Umgebungen vorschriftsmäßig, abrufbar und kontrollierbar sind.

  • Monitoring zu Risiken und Compliance-Themen

    Wenn Unternehmen intern und extern das Vertrauen in ihre Prozesse stärken wollen, brauchen sie ein umfassendes Monitoring zu Risiken und Compliance-Themen. Mit der neuesten Version von "SAS Enterprise GRC" hat SAS eine Lösung für Governance, Risk und Compliance (GRC) vorgestellt. Diese schafft bei Compliance-Beauftragten und damit auch der Unternehmensleitung mehr Vertrauen und Sicherheit. Die Neuerungen umfassen optimierte Arbeitsabläufe, mehr Anpassungsmöglichkeiten an individuelle Anforderungen und einen umfassenden Überblick über komplexe GRC-Programme.

  • Kontrolle über IT-Governance und Compliance

    Die neue "Control Compliance Suite 11" von Symantec bietet laut Herstellerangaben Unternehmen eine bessere Kontrolle über IT-Risiken, ihre Richtlinienkonformität und IT-Governance. Teil der Lösung ist das neue "Control Compliance Suite Risk Manager"-Modul. Damit können IT-Verantwortliche Risiken besser einschätzen und für verschiedene wichtige Entscheidungsträger innerhalb eines Unternehmens verständlich zusammenfassen. Der Risk Manager übersetzt dabei technische Probleme in die Risiken für die Geschäftsprozesse. So hilft das Modul, Gegenmaßnahmen anhand der geschäftlichen statt ihrer isolierten technischen Bedeutung zu priorisieren.

  • Steuerung der GRC im Unternehmen

    RSA, Security Division von EMC, bietet ihre Sicherheitsplattform "Archer" ab sofort auch auf Deutsch an. Mit RSA Archer können Unternehmen ihre Governance, Risk und Compliance ("enterprise GRC")-Prozesse unternehmensweit vereinheitlichen und automatisieren. RSA Archer unterstützt Kunden durch umfangreiche eGRC-Funktionen bei der Steuerung von eGRC-Prozessen, beim Nachweisen der Compliance zu internen und externen Vorgaben sowie bei der Automatisierung der damit verbundenen Geschäftsprozesse.