Compliance: Was es bei der Einführung von Regelwerken zu beachten gilt

Lückenlose Dokumentation

Neben dem Erkennen organisatorischer Risiken ist die oberste und wichtigste Vorgabe, um Compliance-Verstöße zu verhindern, eine lückenlose Dokumentation aller Prozesse und Vorgänge. Sie ist nicht nur bei der Aufdeckung von Unregelmäßigkeiten extrem wichtig – die aktuellen Bestimmungen fordern Transparenz in allen Bereichen. Vor allem die IT-Abteilungen von Banken und Finanzdienstleistern stehen hier vor einer besonderen Herausforderung. Für sie bedeutet die Flut von Vorschriften eine zunehmende restriktive Belastung.

IT-Verantwortliche in deutschen Unternehmen unterliegen einem wachsenden Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen Kodizes. Die im Juni 2008 in Kraft getretene EuroSOX-Regelung, die sich an die US-amerikanischen Gesetze anlehnt, wird diese Entwicklung noch weiter verschärfen. Geregelt wird durch das Gesetz der Europäischen Kommission vor allem die Verwaltung von Dokumenten, insbesondere interne und externe Verträge ebenso wie eine revisionssichere Archivierung.

IT-gestützte Compliance-Systeme sollten im Idealfall im Hintergrund agieren, also automatisierte Prozesse darstellen, die von den Mitarbeitern nicht zusätzlich beachtet oder bearbeitet werden müssen. Im Falle der Archivierung hieße dies beispielsweise, dass Protokolle oder Dokumente automatisch vom System archiviert und entsprechend abgelegt werden, ohne eines weiteren Handlungsschritts der Bearbeiter zu bedürfen.

Bei der Implementierung heißt es jedoch, Vorsicht walten lassen. Es sollte seitens der IT-Abteilung darauf geachtet werden, dass nicht wahllos archiviert wird. Speicherplatz ist zwar ein billiges Gut, doch das Prinzip „store everything, manage nothing“ kann im Bedarfsfall die Suche nach den richtigen Dokumenten fast unmöglich machen. Müssen Dokumente gar im Zuge eines Gerichtsverfahrens vorgelegt werden, können die Konsequenzen gravierend sein. Eine klare Strukturierung und Priorisierung der Daten sollte daher die Basis jedes IT-gestützten Compliance-Programms sein.