Eine Studie, die noch bis Juni diesen Jahres von Novell und der Universität Erlangen-Nürnberg durchgeführt wird, untersucht den Status von Compliance in Unternehmen. Dazu werden die Verantwortlichen u.a. zum Aufwand der Compliance befragt. Das Zwischenergebnis besagt, dass Compliance-Projekte momentan vor allem aufgrund interner Vorgaben wie firmeneigene Sicherheits-Policies durchgeführt werden.
Compliance als Mittel zur Prozessoptimierung
Anscheinend zwingen die Compliance-Anforderungen die Unternehmen, sich mit den Unternehmensprozessen zu befassen. Und daher arbeiten die Unternehmen auch gleich an der Prozessoptimierung, weshalb 70% des Compliance-Erfolges darauf zurückzuführen sind.
IT-Abteilungen für Compliance und Sicherheit verantwortlich
Es sind die IT-Abteilungen in Unternehmen, die den Großteil der Arbeit bei der Umsetzung von Compliance und Sicherheit erledigen. Dabei ist ein hoher manueller Aufwand vonnöten. Daher fokussiert man sich auf die Entwicklung von automatisierten Lösungen, um den Aufwand zu verringern.
Quantifizierbare Erfolge durch Compliance kaum möglich
Um die Compliance-Anforderungen widerspruchsfrei umzusetzen, ist es notwendig, alle Anforderungen an einer Stelle zu zentralisieren. Dies ist auch gar nicht so schwierig, denn viele Compliance-Richtlinien fließen zu fast 80% ineinander und nur ein kleiner Teil muss individuell behandelt werden. Das Schwierige ist, die Erfolge mit Zahlen zu belegen. Das Ziel der Unternehmen ist u.a. Kosten zu sparen. Aber eine Analyse der tatsächlichen Einsparungen wird bisher nur selten durchgeführt. Und auch die Erfolge der IT-Lösungen in punkto Sicherheit kann man nur schwer in Zahlen nachvollziehen. Und hier liegt das Problem, denn die Geschäftsführer oder das Management wollen messbare Ergebnisse sehen. Zwar wissen sie, dass sie die Compliance-Regeln einhalten müssen, aber die meisten realisieren dies erst, wenn es schon zu spät ist, also wenn das Finanzamt etwas beanstandet oder Schaden entstanden ist. Diese Schäden können die Existenz des Unternehmens bedrohen, wenn auch die externen Vorgaben, beispielsweise die gesetzlichen Vorgaben für die Bilanzen durch SOX oder Basel II, nicht eingehalten werden. Diesen externen Normen wird zunehmend mehr Beachtung geschenkt, aber die Hauptaufmerksamkeit gilt den firmeneigenen Bestimmungen.