Der wohl offensichtlichste Nutzen von Compliance: Indem sie vor Regelverstößen schützt, vermeiden Unternehmen hohe Strafzahlungen und Imageschäden. Wer seine Compliance-Aktivitäten jedoch darauf beschränkt, die vorgeschriebenen Audits zu bestehen, lässt wesentliche Potenziale ungenutzt; die gesetzlichen Regelungen geben schließlich lediglich Minimalstandards vor. Erst wer sie systematisch in ein umfassendes Compliance-Framework einbindet, kann auf dieser Basis die Sicherheit und Effektivität seiner Prozesse und Entscheidungen dauerhaft erhöhen.
Foto: KPMG
Sämtliche Vorgaben integrieren
Möchte ein Unternehmen Compliance als umfassendes Kontroll- und Steuerungsinstrument nutzen, so ist Konsistenz gefragt: Über die gesetzlichen Vorschriften hinaus müssen auch freiwillig umzusetzende Standards wie ISO-Normen und Best Practices sowie unternehmensinterne Richtlinien in das individuelle System integriert werden. Mit dieser wachsenden Anzahl an Regelungen steigt allerdings auch die Komplexität - eine manuelle Kontrolle und Steuerung der Prozesse ist dann in der Regel zu aufwendig und kaum noch überschaubar.
In solchen Fällen sorgt Automatisierung für die nötige Effizienz und Effektivität. Vor der technischen Umsetzung steht jedoch zunächst eine sorgfältige Planung; denn den gewünschten Nutzen erbringt ein automatisiertes Compliance Management in der Regel nur dann, wenn es über die Analyse von Risiken und Abweichungen hinausgeht.
So bedeutet beispielsweise die manuelle Bearbeitung von Reports für die Compliance-Verantwortlichen einen hohen zeitlichen Aufwand: Bei jeder Abweichung müssen sie den Prozessverantwortlichen auf IT- und oft auch auf Business-Seite ermitteln, um zu klären, wie sich der Patch auf die jeweiligen Prozesse auswirkt. Minimieren lässt sich dieser Aufwand, indem das System die Probleme nicht nur meldet, sondern auch gleich deren weitere Bearbeitung steuert: Statt individuell auf einzelne Abweichungen zu reagieren, wird von vornherein der Umgang mit bestimmten Problemen definiert - ebenso wie die Regeln für eine Eskalation gesetzt den Fall, dass eine direkte Lösung nicht möglich ist. Auf dieser Basis kann das System im Hintergrund alle benötigten Informationen abfragen und die Anforderungen direkt an den Prozessverantwortlichen weiterleiten.
Technische Kontrollen als Anhaltspunkt
Für die technische Umsetzung der automatisierten Compliance-Lösung ist dann in der Regel die IT-Abteilung zuständig. Auf sie wartet hier eine besondere Herausforderung, denn die meisten Regelwerke und Standards geben lediglich bestimmte technische Kontrollen vor. Wie sich diese Anforderungen im konkreten Fall umsetzen lassen, muss dagegen jedes Unternehmen selbst erarbeiten. Und schon allein aufgrund der Vielzahl an einzuhaltenden Regelungen ist die Konzeption einer automatisierten Compliance-Lösung alles andere als trivial.
Unterstützend können IT-Verantwortliche sogenannte Security-Configuration-Management-Systeme heranziehen: Diese leiten den Anwender durch die Definition der benötigten technischen Kontrollen und bringen oft auch schon vorgefertigte Abfragen für die wichtigsten Compliance-Anforderungen mit. So decken beispielsweise viele Compliance-Tools zentrale Regelwerke wie PCI, SOX oder die ISO 2700x ab. Hierbei kommen in der Regel mitgelieferte technische Kontrollen zum Einsatz, die nicht nur die zentralen Regelwerke abbilden, sondern auch derart in Paketen gebündelt werden können, dass auch komplexe Richtlinien schnell im Rahmen der individuellen technischen Anforderungen umgesetzt werden können.
Standards und Flexibilität
Sinnvoll ist die Arbeit mit vorgefertigten Abfragen und Templates allerdings nur, wenn diese sich einfach und flexibel an die Erfordernisse des jeweiligen Unternehmens sowie an aktuelle Entwicklungen anpassen lassen. Da die meisten Unternehmen eine ganze Reihe sehr individueller Compliance-Anforderungen haben, sollte ein System die Möglichkeit bieten, auch komplett neue Abfragen zu erstellen und eigenen Code einzufügen. Ein weiteres wichtiges Feature ist die Berechnung von Risiko-Scores: Anhand dieser lässt sich jederzeit die Qualität von Prozessen kontrollieren und steuern - auf Ebene einzelner technischer Kontrollen ebenso wie für ganze Richtlinien.
Die Berechnung von Risiko-Scores ermöglicht auch eine fundierte Entscheidung darüber, mit welcher Priorität auf bestimmte Probleme reagiert werden soll oder ob eine Abweichung sogar ganz ohne Konsequenzen bleibt: Hat ein Unternehmen beispielsweise in seinen SLAs festgelegt, dass bestimmte Abweichungen nicht innerhalb eines Tages korrigiert werden müssen, so fehlen im Fall eines Audits vielleicht Patches, die erst am Vortag angefordert wurden. Das System dokumentiert in solchen Fällen, dass ein Prozess definiert wurde und die Verzögerung zufriedenstellend zu erklären ist.
Fazit
Je individueller sich ein standardisiertes Compliance-System anpassen lässt, desto besser unterstützt es die Integration gesetzlicher Vorgaben und unternehmensinterner Prozesse. Nur durch diese Kombination aus Konsistenz und Flexibilität kann - auf Basis sorgfältiger Planung - ein organisches Compliance- und Sicherheits-Framework entstehen, das weit einen Nutzen erbringt, der weit über die Anforderungen gesetzlicher Regelungen hinausgeht. (hal)