Chief Compliance Officer als Dolmetscher

Geschäftlichen Nutzen aus Compliance ziehen

08.07.2009 von Christiane Pütter

Regulatorische Vorgaben sollen Unternehmen nutzen, um Synergien zwischen Pflicht und eigenen Zielen zu realisieren. Ein Leitfaden soll zeigen, wie das in der Praxis funktionieren kann.

Compliance-Aufgaben der IT nach dem Modell von Experton/Microsoft.

In Sachen Compliance will Michael Kranawetter einen Paradigmenwechsel ausrufen. Statt isolierter Einzellösungen, so der Microsoft-Manager, sollen Unternehmen ein betriebsweites Rahmenwerk aufsetzen. Aufgabe der IT ist es, eine Enterprise Architecture aufzubauen, die flexibel auf wechselnde Regularien reagiert.

Kranawetters These: Weil Regularien ohnehin umgesetzt werden müssen, sollte das so geschehen, dass Unternehmen daraus Nutzen zur Prozess- und Geschäftsoptimierung ziehen. Microsoft weiß auch, wie das geht: Der IT-Anbieter hat ein Team aus Juristen, Betriebswirten, Wissenschaftern, Wirtschaftsprüfern und Analysten (den Marktforscher und Berater Experton) an einen Tisch geholt. Das Team - Kranawetter als BWLer mit 15 Jahren IT-Erfahrung ist als Microsofts Ansprechpartner für IT-Sicherheitsfachleute dabei - hat einen Leitfaden entwickelt. Dessen etwas sperriger Titel lautet "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung".

Laut Kranawetter und Kollegen verfolgen regulatorische und geschäftliche Anforderungen durchaus gemeinsame Ziele. "Unternehmen können regulatorische Vorgaben als Ausgangspunkt nutzen, um Synergieeffekte zwischen den vorgegebenen Pflichten und den eigenen Zielsetzungen zu realisieren", so der Manager.

Für die IT liegt die Verbindung mit dem Business in folgenden fünf Feldern: Informationsschutz, Risiko-Management, Informations-Management, internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Konkret geht es dabei etwa um Standards wie COBIT (Control Objectives for Information and related Technology) und die IT Infrastructure Library (ITIL) sowie um Basel II, Eurosox und der Standard für Security-Risk-Management "Information Technology - Security Techniques - Information Security Risk Management", kurz: ISO/IEC 27005:2008.

Bestimmung des Compliance-Reifegrades einer Firma nach dem Modell von Experton/Microsoft

Ginge es nach Kranawetter, würde jedes Unternehmen einen Chief Compliance Officer einsetzen. Der fungiert quasi als Dolmetscher zwischen IT einerseits und Business andererseits.

Studie: Compliance in deutschen Unternehmen

Hintergrund des Leitfadens ist eine Studie von Experton über den Stand von Compliance in deutschen Unternehmen. Dabei zeigte sich eine erhebliche Diskrepanz zwischen den beiden Seiten: 41 Prozent der Befragten aus dem Business gaben an, mit der Umsetzung von Compliance "sehr zufrieden" zu sein - von Seiten der IT sind es nur zehn Prozent.

Der Leitfaden von Experton und Microsoft kann hier heruntergeladen werden.