Ausgaben für die Automatisierung und Überwachung von Vorgaben sollen konstant bleiben oder sogar steigen
Compliance: Datenschutz ist deutschen Firmen viel wichtiger als Basel II
"Der Hype um Compliance ist im Jahr 2009 bei deutschen Unternehmen allmählich einer nüchternen Diskussion gewichen", berichtet Wolfram Funk, Senior Advisor der Experton Group. Mit der Umsetzung der Compliance-Anforderungen sind aber fast 40 Prozent der Firmen lediglich mäßig zufrieden oder unzufrieden. Funk rät, die Einhaltung regulatorischer Anforderungen nicht nur als Zwang, sondern auch als Chance zu betrachten. Ein von Microsoft und Experton erstellter Leitfaden erklärt, wie Unternehmen aus der Compliance-Umsetzung Nutzen zur Geschäfts- und IT-Infrastrukturoptimierung ziehen können.
"Während die Unternehmen einige Compliance-Regelungen mehr oder weniger konsequent befolgen,
werden andere nur beobachtet oder gar geflissentlich ignoriert", sagt Funk. Derzeit werde in
Deutschland vor allem das Bundesdatenschutzgesetz beziehungsweise die Datenschutzregelungen der
einzelnen Bundesländer umgesetzt, zeigt eine Umfrage der Experton Group bei deutschen IT- und
Geschäftsentscheidern in Unternehmen mit mindestens 1.000 Mitarbeitern. Dann folgen verschiedenen
Gesetzen aus dem Wirtschaftsrecht sowie firmeninternen oder rechtlich nicht verbindlichen Standards
– etwa die Security-Norm ISO 27001 und der BSI-IT-Grundschutz.
"Die so oft in den Vordergrund der Marketingaktionen der Anbieter gestellten
Eigenkapitalregelungen von Basel II werden jedoch überschätzt", betont Funk. Zwar beziehe das
Risiko-Rating der Banken bei der Kreditvergabe auch IT-Betriebsrisiken beim Kunden mit ein, was
potenziell günstigere Kreditkonditionen für IT-seitig solide aufgestellte Unternehmen zur Folge
haben kann.
"Ein seriöses Rating erfordert aber einen aufwändigen IT- und Prozess-Audit. Darum ist Basel II
weitgehend von der Agenda deutscher Unternehmen außerhalb der Finanzbranche verschwunden. In der
Praxis prüfen Unternehmen eher über Checklisten", weiß Funk.
Trotz der aktuell gefühlten Compliance-Müdigkeit vieler deutscher Unternehmen nimmt zugleich die
Anzahl der zu beachtender Regelungen stetig zu. Funk: "Sie reichen von Compliance-relevanten
Gesetzen im engeren Sinne über Standards, Referenzmodelle und branchenspezifische Vorgaben bis hin
zu firmeninternen Richtlinien. Global tätige Unternehmen müssen sich zudem mit länderspezifischen
Regelungen auseinandersetzen, die selbst innerhalb der Europäischen Union nicht immer harmonisiert
sind."
Entsprechend herrscht nicht überall Friede, Freude, Eierkuchen: Die Umfrage der Experton Group
belegt nur eine mäßige Zufriedenheit der Anwender mit der Umsetzung von Compliance-Anforderungen.
Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden. Dabei sind
IT-Entscheider tendenziell unzufriedener mit der Umsetzung von Regularien in ihrem Bereich als die
Geschäftsführung.
IT- und Business-Entscheider bemängeln zudem regelmäßig, dass sich der Nutzen der Umsetzung nur
schwer abbilden und messen lasse. Knapp die Hälfte der von Experton Group befragten Unternehmen
hält diesen Punkt für ein großes oder sogar sehr großes Hindernis. "Reine Drohszenarien im Sinne
von Strafen und Sanktionen greifen zu kurz, wenn das einzelne Unternehmen tatsächlich nur mit
geringen Sanktionen von externer Seite zu rechnen hat", sagt Funk.
Er plädiert aber ohnehin dafür, die Einhaltungsthematik nicht nur widerwillig und unter äußerem
Druck anzugehen: "Die Einhaltung regulatorischer Anforderungen wird oft ausschließlich als Zwang
empfunden. Doch dabei bietet sie auch Chancen. Wenn Unternehmen über den Tellerrand schauen,
profitieren sie zugleich von Geschäftsoptimierungsmöglichkeiten", so Funk. Es gilt daher, das
Nutzenpotenzial beim Erfüllen regulatorischer Vorgaben künftig besser auszuschöpfen. Ein
entscheidendes Ziel ist es dabei, das Spannungsfeld zwischen Unternehmens- und IT-Steuerung,
Risiko-Mmanagement und regulatorischen Anforderungen aufzulösen. Denn geschäftliche und
regulatorische Anforderungen ständen nicht notwendigerweise im Widerspruch zueinander. Ein von
Microsoft und Experton Group erstellter Leitfaden erklärt daher, wie Unternehmen aus der
Compliance-Umsetzung auch Nutzen zur Geschäfts- und IT-Infrastrukturoptimierung ziehen können. Das
White Paper ist
hier kostenfrei verfügbar.
Denn: "Vorausschauende IT-Entscheider sind in der Lage, auf diese Art sogar Synergieeffekte zur
IT-Infrastruktur-Optimierung zu nutzen. Oftmals ist man sich nicht darüber bewusst, dass bereits
einige technische Werkzeuge zur Compliance-Umsetzung im Unternehmen vorhanden sind – sie müssen nur
entsprechend genutzt und in den Gesamtzusammenhang gestellt werden", nimmt Funk die
Compliance-Furcht.
Immerhin rechnen die IT-Entscheider und mehr noch die Business-Entscheider 2009 überwiegend mit
steigenden oder zumindest konstanten Ausgaben für die Automatisierung und Überwachung von
Compliance-Vorgaben. Aufkommen dafür muss aber meist die IT: Die Investitionen stammen bei etwa der
Hälfte der Befragten aus dem IT-Budget. Nur wenige wollen die Ausgaben aus einem dedizierten
Compliance-Budget bestreiten. Der Rest finanziert diese Summen aus den Geschäftsbereichen.
Armin Barnitzke/dp
Lesen Sie mehr zum Thema
