Reporting spielt zentrale Rolle
Wege zur reibungslosen Compliance
In zunehmendem Maße sehen sich Organisationen gezwungen, internationale, nationale und regionale Vorschriften einzuhalten. Für die IT-Abteilungen hat dies neue Reibungspunkte zur Folge. Kundenorientierung, Echtzeittransparenz und Reporting helfen, den Anforderungen gerecht zu werden.
Dass jede Organisation bestrebt ist, die einschlägigen Gesetze und ethischen Normen zu befolgen,
steht außer Zweifel. Doch verlangen internationale und nationale Gesetze von den IT-Abteilungen
mehr und mehr, Informationen über die Einhaltung der Regularien, also die so genannte Compliance,
vorzuhalten und gegebenenfalls vorzulegen. Mit dieser Gesetzeskonformität haben IT-Organisationen
auf zweierlei Weise zu tun. Erstens enthalten IT-Infrastrukturen Informationen über allgemeine
geschäftliche Verfahrensweisen und Abläufe, die gesetzlichen Normen und Vorschriften unterliegen.
Zweitens können auch die Verfahrensweisen und Infrastrukturen der IT-Abteilungen selbst Gegenstand
von Compliance-Anforderungen sein, was den Datenschutz, die Sicherheit geschäftlicher
Onlinetransaktionen und so weiter angeht. In jedem Fall zwingt die neue Welle von
Compliance-Anforderungen die IT-Organisationen, mehr Ressourcen in die Dokumentation des
Compliance-Status zu investieren und bei mangelnder Compliance entsprechende Gegenmaßnahmen zu
treffen.
Diese Aktivitäten sind entscheidend für die Fähigkeit einer Organisation, geschäftliche
Transaktionen abzuwickeln. Dennoch sehen viele Manager im Compliance-Komplex eine Abweichung von
den eigentlichen Aufgaben der IT-Abteilungen, nämlich Organisationen effizienter arbeiten zu
lassen, die Betriebskosten zu senken, den Kundenservice zu verbessern und neue
Wachstumsmöglichkeiten zu erschließen. Fragen der Einhaltung gesetzlicher Vorschriften und
geschäftlicher Vorgehensweisen können für IT-Organisationen deshalb ein Reibungspunkt sein, da das
insgesamt anfallende Arbeitsaufkommen zunimmt. Es entsteht ein Konfliktpotenzial mit Managern
außerhalb der IT-Abteilung sowie Regulierungsbehörden und anderen Personenkreisen.
Aus all diesen Gründen müssen Organisationen nach Möglichkeiten suchen, die Unstimmigkeiten im
Zusammenhang mit der Compliance zumindest zu reduzieren oder besser noch das Compliance-bezogene
Arbeitsaufkommen der IT-Abteilung auf Aktivitäten zu verlagern, die der jeweiligen Organisation
beim Erreichen allgemeiner gefasster Ziele helfen. Basierend auf Erfahrungen mit Kunden in den USA
und Europa werden im Folgenden vier Möglichkeiten empfohlen, Reibungspunkte im Zusammenhang mit der
Compliance zu verringern.
Erstens: Konzentration auf die Compliance-"Kunden"
Die Compliance-Bemühungen können verschiedene Abteilungen einer Organisation betreffen, deren
Anforderungen sich unterscheiden oder unter Umständen überlappen. Zunächst müssen sich die
IT-Abteilungen darüber im Klaren sein, dass es verschiedene interne "Kunden" für
Compliance-Informationen geben kann. Die Finanzabteilung zum Beispiel wird an der Einhaltung der
für Buchhaltung und Finanzgeschäfte geltenden Vorschriften interessiert sein. Der Rechtsabteilung
wird besonders an der Aufbewahrung der Firmenakten, an Verträgen und an der Einhaltung der
Kartellgesetze liegen. Für die Personalabteilung liegt der Schwerpunkt auf Einstellungsbedingungen
und Krankenversicherungsdaten. Sogar die IT-Abteilung selbst sieht sich mit
Compliance-Anforderungen konfrontiert: Man denke nur an die Rückverfolgbarkeit von
Softwarelizenzen, die Einhaltung interner Service Level Agreements (SLAs) oder das Erzielen von
Zertifizierungen für Best Practices.
Ein kundenorientiertr Ansatz für die Compliance-Programme ist hier von Vorteil. Die IT-Abteilung
muss die Anforderungen jedes Compliance-"Kunden" verstehen und mit ihm zusammenarbeiten, um zu
ermitteln, welche Art von Dienstleistungen er benötigt und wie sich diese umsetzen lassen. Hieraus
kann ein SLA-basiertes Konzept hervorgehen, mit dem der IT-Support für unterschiedliche
Compliance-Agenden in einer Organisation implementiert wird.
Zweitens: Echtzeittransparenz
Da die Dokumentation für die Compliance im IT-Bereich häufig eine zentrale Rolle spielt, kommt
es darauf an, dass sich die IT-Abteilung jederzeit einen umfassenden und nach Minuten genauen
Überblick über sämtliche Informationen verschafft, die für den Compliance-Status einer Organisation
relevant sind. Report-Funktionen auf der Basis von Bestandsaufnahmen, die zu einer bestimmten Zeit
in jährlichem, monatlichem oder wöchentlichem Rhythmus oder auch einmal am Tag erfolgen, können
unter Umständen Aktivitäten übersehen, die für ein Compliance-Programm jedoch möglicherweise
relevant sind. Jegliche Verzögerung beim Aufdecken und Beheben von Schwachstellen macht eine
Organisation anfällig für Angriffe und Eindringversuche, die sich genau diese wunden Punkte zunutze
machen. Dies gilt gerade in der heutigen Zeit, in der Hacker Sicherheitslücken leicht ausnutzen
können, sobald die Anwender von Computerunternehmen und der Industrie auf Schwachstellen aufmerksam
gemacht worden sind. Es ist nicht mehr hinzunehmen, dass eine Organisation eine Woche oder einen
ganzen Monat warten muss, bis sie erfährt, ob sie über eine sichere Systemkonfiguration nach
neuesten Standards verfügt.
Außerdem sind Technologien, die das Scannen zu festgelegten Zeitpunkten vorsehen, für
Organisationen unpassend, in denen viele Mitarbeiter mitsamt ihren Computern im Außendienst
eingesetzt werden. Alle Anlagenteile, die zum Zeitpunkt des Scans nicht an das Firmennetzwerk
angeschlossen sind, erscheinen nicht im Report und sind dementsprechend für die Administratoren
nicht zugänglich – es können keine Probleme behoben werden.
Es gibt jedoch bereits Technologien am Markt, die Echtzeit-Reports erstellen. Diese Lösungen
basieren auf Client-Agenten und erstellen fortlaufend Aufzeichnungen über den Konfigurationsstatus
der Anlagen, gleich ob ein fester Anschluss an das Firmennetzwerk genutzt wird oder eine lockere
Anbindung per Internet existiert.
Drittens: Selbstbedienungsreports
Je eher eine IT-Organisation in der Lage ist, das Compliance-Reporting zu automatisieren und
internen Kunden ohne Zutun des IT-Personals die gewünschten Informationen zur Verfügung zu stellen,
desto besser. Ideal wäre es, wenn interne Kunden einen direkten Zugriff auf topaktuelle, nach
individuellen Vorgaben formatierte Reports hätten. Dies würde die Arbeitsbelastung des IT-Personals
reduzieren, das weniger Zeit zum Erstellen von Berichten für Manager außerhalb der IT aufwenden
muss.
Voraussetzung für ein Reporting nach dem Selbstbedienungsprinzip ist, dass die Anforderungen
vorab bekannt sind. Dies wiederum ist mit dem bereits erwähnten, kundenorientierten "
Compliance-SLA-Konzept", mit einem ununterbrochenen Daten-Reporting, mit der automatischen
Aufbereitung der Daten und mit der Onlinebereitstellung der Reports für "Kunden" mit entsprechender
Berechtigung möglich. Das "Self-Service-Reporting" reduziert aber nicht nur die Arbeitsbelastung
des IT-Personals, sondern verbessert auch die Qualität und Aktualität der gebotenen Informationen
und kommt schließlich auch der Zufriedenheit der Kunden zugute.
Viertens: Reportfunktionen und Abhilfemaßnahmen kombinieren
Kein Grund spricht dafür, das Reporting als separate Funktion losgelöst vom IT-Betrieb und vom
Sicherheitsmanagement zu behandeln. Ideal wäre vielmehr die Verwendung von Tools und Prozessen, die
das Compliance-Reporting mit dem Konfigurationsmanagement der IT-Ressourcen verbindet. Mit einer
einheitlichen Infrastruktur für Compliance-Reporting und Asset-Management gelingt es abermals, das
Arbeitsaufkommen der IT-Abteilung zu verringern und die betreffende Organisation in Sachen
Compliance so aufzustellen, dass Konformitätsprobleme gefunden und behoben werden können, bevor sie
sich zu gravierenden Vorfällen entwickeln, aus denen rechtliche, kommerzielle oder soziale
Konsequenzen für die jeweilige Organisation resultieren können.
Compliance und Kontrolle
IT-Manager sollten sich stets vor Augen halten, dass es sich bei der Compliance im Prinzip um
ein Kontrollproblem handelt, das die gesamte Organisation betrifft. Gewiss ist die IT-Abteilung
durch neue Gesetze und Vorschriften zu einer zentralen Komponente geworden, was die Compliance
einer Organisation angeht. Dennoch spielt der IT-Bereich hier weniger eine führende, sondern eher
eine unterstützende Rolle. Ein tatsächlich umfassendes Programm bündelt dagegen sämtliche Gruppen,
die in einer Organisation mit dem Thema Compliance zu tun haben.
Letztendlich geht es bei jedem Compliance-Programm nicht allein darum, den entsprechenden
rechtlichen und geschäftlichen Standards genüge zu tun, sondern die Bemühungen müssen mit einem
übergreifenden Best-Practices-Management für die IT-Ressourcen und Prozesse gekoppelt werden.
Organisationen, die diese Programme mit einem hohen Grad an organisatorischer Ausgereiftheit
vorbeugend koordinieren können, dürften auch in der Lage sein, ihre gesamten IT-Programme mit dem
gleichen Maß an betrieblicher Effizienz zu managen.
Lesen Sie mehr zum Thema
