Textversion
Gesetze/Standards Markt Produkte Services Branchen Whitepapers Fachbeiträge Schwerpunkte Webinare CCZ Literatur Governance Compliance-Archiv Compliance-Lexikon Success Stories Wer bietet was? Sponsoren Schulungen Security-News Compliance-Shop Specials Unternehmensprofile
Home Fachbeiträge Hintergrund

Fachbeiträge


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Schwerpunkt: Identity Management & Compliance Events / Veranstaltungen Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Newsletter Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Datenschutzerklärung Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Im Wust neuer Compliance-Anforderungen gefangen?


Compliance im Bankensektor: Mit einem Programm-gestützten IT-Planungsprozess sind fast alle Hausaufgaben bereits unabhängig von den konkreten Compliance-Richtlinien erledigt
Chancen für Verbesserungen: Bei der Realisierung der Compliance-Richtlinien werden Schwächen im IT-Bereich aufgedeckt, die Sicherheit der Informationssysteme verbessert und Kernaufgaben neu definiert

Anzeige

Von Dr. Bostjan Praprotnik, Managing Consultant bei alfabet

(14.07.09) - Für Banken und Finanzunternehmen hat die Einhaltung von Compliance-Richtlinen Top-Priorität. In keiner anderen Branche werden so hohe Anforderungen gestellt. Zu den aktuellen Bestimmungen zählen beispielsweise die MiFID, die das Kreditwesengesetzes (KWG) verschärft, die Euro-SOX und Basel II. Die strikte Ausrichtung an Compliance-Bestimmungen und ein sauberes IT-Risiko-Management sind dabei keine IT-, sondern eine Chefsache. Denn verantwortlich für die Einhaltung ist das Management der Finanzunternehmen. Wie aber gelingt es Bankvorständen, dieser Aufgabe gerecht zu werden und den Überblick zu behalten, ohne das Compliance-Rad immer wieder neu zu erfinden? IT-Planung ist eine Möglichkeit, gesetzliche Vorschriften durch Standardisierung der IT-Prozesse kosteneffizient zu stemmen.

Besonders Banken und zunehmend auch Versicherungen stehen unter enormem Druck Kosten zu sparen. Das wirkt sich auch sehr schmerzhaft auf die IT-Abteilungen aus. Gefährlich dabei sind Budgetkürzung ‚aus dem Bauch heraus’, die immer dann erfolgen müssen, wenn das Management keine Transparenz hat, um die Auswirkungen und die tatsächliche Durchschlagskraft von IT-Projekten zu messen. Ohne ein adäquates IT-Management, das genau diese Informationslücke schließt, können keine intelligenten IT-Budgetentscheidungen getroffen werden.

Ähnlich verhält es sich auch bei Änderungen im Rahmen von Compliance-Anforderungen. Um die gesetzlichen Vorgaben zu erfüllen, genügt es nicht, möglichst viele neue IT-Projekte zu starten und Investitionen in Software zu tätigen. Für die nachhaltige Umsetzung der Richtlinien ist es wesentlich, einen genauen Überblick über die vorhandene IT-Landschaft zu haben und zu gewährleisten, dass Betriebskosten für die IT nicht ständig wachsen und dadurch den Raum für neue Projekte abschnüren. Die zentralen Stichworte und Wünsche der CxOs lauten dabei: Standardisierung, Konsolidierung und Harmonisierung aller IT-Lösungen.

Jede neue gesetzliche Anforderung bietet auch Verbesserungs-Chancen. Bei der Realisierung der Compliance-Richtlinien werden Schwächen im IT-Bereich aufgedeckt, die Sicherheit der Informationssysteme verbessert und Kernaufgaben neu definiert. Ein wesentlicher Punkt für die erfolgreiche Umsetzung von neuen Richtlinien ist die Bereitstellung einer technischen und funktionalen Transparenz über die IT-Infrastruktur, die die Wahrscheinlichkeit des Projekterfolgs fördert.

Das bedeutet, die Mitarbeiter auf der Business-Seite sollen, ebenso wie die IT-Architekten, Entwickler und Administratoren, verstehen, wie der Lebenszyklus der IT Architektur ist, welche Unterstützung für das Business bzw. dessen Geschäftsprozesse erbracht wird und für welche Aspekte sie verantwortlich sind. Das erfordert die Dokumentation aller IT-Elemente, die mit einer bestimmten Compliance-Anforderung im Zusammenhang stehen. Diese Vorgehensweise führt zu einer stufenweise aufbaubaren Wissensplattform.

Die Vorteile dieser Plattform liegen auf der Hand. So wird einmalig und für alle Abteilungen und Ansprechpartner verbindlich definiert, was die wesentlichen Elemente der IT Architektur sind und wie sie einheitlich benannt werden. Diese gemeinsame Sprache und Terminologie spart unzählige Diskussions- und Abspracherunden und ermöglicht eine gemeinsame Projektplanung ohne IT-Latein und Fachchinesisch.

(K)ein Berg an Forderungen
Denkt man an alle Bestimmungen und Gesetzesänderungen, dann kommt einem die immer neue Ausrichtung der IT-Landschaft tatsächlich als endloser Anforderungsberg vor. Aber das Rad der IT-Planung und -Kontrolle muss keinesfalls jedes Mal neu erfunden werden. Mit einem etablierten und Programm-gestützten IT-Planungsprozess haben Management und IT-Entscheider fast alle Hausaufgaben bereits unabhängig von den konkreten Compliance-Richtlinien erledigt.

Für Finanzunternehmen ist es sehr lohnend und mittelfristig kostensparend, sich mit diesem Ansatz für die IT-Planung und das Alignment von Business und IT zu beschäftigen. Gerade wenn neue Anforderungen gestellt werden, ist der richtige Zeitpunkt dafür. Wie ein ERP-System in Bezug auf Prozesse erfasst die IT-Planungssoftware die gesamte Enterprise Architektur und zeigt auf, wie die IT unterschiedliche Businessbereiche unterstützt. Auf dieser Basis gelingt es, die IT wie ein Geschäft zu verwalten und zu verstehen, wie IT-Projekte die Geschäftsanforderungen umsetzen bzw. wo Handlungsbedarfe existieren. Dazu nutzt die IT-Planung, die von Marktbeobachtern und Analysten auch als Enterprise Architecture Management Software bezeichnet wird, die folgenden Methoden, die auch bei der Erfüllung der Compliance-Richtlinien eingesetzt werden.

Basis ist ein umfassendes Inventar aller IT-Artefakte mit einer einheitlichen Objektdefinition, die die Hinterlegung von benötigten (vordefinierbaren) Attributen ermöglicht. Dieses Inventar zeigt Abhängigkeiten zwischen Business, Anwendungs- und physikalischer Ebene des Unternehmens und gibt an, welche Prozesse und Organisationen von welchen IT-Anwendungen unterstützt werden. Das Inventar bietet eine größere Kontrolle über Ereignisse, die Einfluss auf die Konformität haben könnten. Genau für diesen Part des IT-Risikomanagements und des Monitorings ist der Vorstand oder Geschäftsführer eines Unternehmens persönlich haftbar.

Risikomanagement bedeutet die systematische Bewertung aller IT-Gefahrenpotenziale sowie die Steuerung der zugehörigen Reaktionen. Eine Aufgabe, die nicht nur wegen der nationalen und internationalen Gesetzgebung relevant ist. Auch aus rein betriebswirtschaftlicher Sicht ist es wichtig, die mit der IT verbundenen Gefährdungspunkte aufzudecken und geeignete Maßnahmen zur Schadensminimierung zu ergreifen.

Die Umsetzung einer neuen Compliance-Richtlinie kann durch Änderungen in den gesetzlichen Bestimmungen, aber auch durch Akquisitionen oder interne Neuausrichtungen, wie den Wechsel des Börsenplatzes, sehr schnell erforderlich werden. In diesem Fall beginnt man als erstes mit der Erfassung der Änderungsbedarfe im Bereich der Business-Anforderungen. Für diese Aufgabe ist die Auswirkung auf die betroffene Architektur (Geschäftsprozess, Applikationen…) von entscheidender Bedeutung. Dies unterstützt die Enterprise Management Software durch die jederzeit verfügbaren Informationen aus dem Basisinventar. Als zweites folgt eine genaue Bewertung der Auswirkungen, die die zu realisierenden Änderungen auf bestehende Business-Prozesse und IT-Elemente haben werden.

Eine weitere extrem hilfreiche Methodik für die Compliance-Planung ist Visualisierung. Gute IT-Planungssoftware bietet Roadmapping-Funktionalitäten, die zukünftige Projekte und den aktuellen Bebauungsplanung grafisch darstellen. Mit diesen Visualisierungstechniken entsteht eine umfassende Planungsplattform, die ein schnelles Verständnis für die Business-orientierte Analyse einer Änderung auf die IT-Umgebung ermöglicht. So kann mit Hilfe der Bebauungsplanung beispielsweise sofort ermittelt werden, inwiefern ein Compliance-relevanter Prozess von der Einführung einer neuen Auftragsannahme-Applikation beeinflusst wird.

Änderungsmanagement: ein Prozess im Compliance-Mittelpunkt
Ein zentraler Bereich zur Gewährleistung der gesetzlichen Anforderungen ist das Änderungsmanagement, eine Kernfunktion der IT-Planung. Es ermöglicht die Verfolgung, beispielsweise zur Einhaltung der SOX-Konformität, wenn neue Applikationen implementiert oder vorhandene Applikationen geändert werden. Exaktes Änderungsmanagement ist der Schlüssel zur Gewährleistung der Genauigkeit interner Kontrollverfahren und gewährleistet die externe Verantwortungsfunktion von CxOs. Mit geeigneter Tool-Unterstützung wird die Programmänderungsverwaltung am besten in der Architektur dokumentiert. Eine Architektur-basierte, strategische IT-Planung bietet einen Prozess für die Integration der IT-Governance in die IT-Entwicklung.

IT-Compliance-Lösungen: kein Buch mit sieben Siegeln für die Business-Seite
Ein so gesteuertes Management der Unternehmensarchitektur trägt entscheidend dazu bei, IT-Standards zu definieren und umzusetzen. In der IT-Planungs-Software hinterlegen die Verantwortlichen die Richtlinien für die Entwicklung und Betrieb der IT-Lösungen. Genau um diese konsequente und transparente Umsetzung von Standards geht es bei allen Compliance-Anforderungen. Wer hier seine Unternehmens- IT bereits standardisiert hat, kann neue Anforderungen schnell umsetzen.

Außerdem ist ein guter Planungsprozess in hohem Maß kollaborativ und umfasst viele Interessengruppen wie Architekturen, Entwickler und die Entscheider aus dem Management. Auch bei der Umsetzung von Compliance-Anforderungen geht es darum, unterschiedliche Bereiche zu integrieren. Von der Anforderungserfassung über die Projektplanung bis zur Realisierung und dem Monitoring der Produktion wird eine integrierte IT-Planungssoftware benötigt, die nötige Compliance-Schritte unterstützt. Damit wird die Umsetzung von Richtlinien für Banken zu einem ganz normalen IT-Projekt. Die Entscheider auf der Business-Seite erhalten ein Werkzeug, mit dem Sie Ihre IT-Landschaft verstehen lernen und trotz neuer Anforderungen Kosten sparen. (alfabet: ra)

alfabet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Hintergrund

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.

Private Nutzung dienstlicher E-Mail-Systeme Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum Telekommunikationsanbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren. Es darf daher nicht mehr alle E-Mails seiner Mitarbeiter aufbewahren, da die Erhebung von personenbezogenen Daten auf ein Minimum beschränkt werden muss.

Compliance und Wertschöpfung eines Unternehmens Werte bilden praktisch immer die Basis jeder Compliance-Maßnahme. Wertebasierte Unternehmensführung hat also nicht nur unmittelbare wirtschaftliche Vorteile, sondern schafft auch den ethisch-kulturellen Unterbau von Corporate Compliance.

Im Wust neuer Compliance-Anforderungen gefangen? Für Banken und Finanzunternehmen hat die Einhaltung von Compliance-Richtlinen Top-Priorität. In keiner anderen Branche werden so hohe Anforderungen gestellt. Zu den aktuellen Bestimmungen zählen beispielsweise die MiFID, die das Kreditwesengesetzes (KWG) verschärft, die Euro-SOX und Basel II. Die strikte Ausrichtung an Compliance-Bestimmungen und ein sauberes IT-Risiko-Management sind dabei keine IT-, sondern eine Chefsache. Denn verantwortlich für die Einhaltung ist das Management der Finanzunternehmen.

Compliance in der Medizin Der Begriff "Compliance" steht in der Wirtschaft heute als Hilfeversuch bei Korruption, Affären und Skandalen. Meist sind es große Firmen, die nach Medienträchtigen schlechten und rufschädigenden Schlagzeilen einen Stamm von internen und externen Beratern in der Compliance-Abteilung beschäftigen, um den guten Ruf wieder herzustellen und zu verhindern, dass derartige Vorkommnisse und Schlagzeilen wieder auftauchen.

Web. 2.0 und Corporate Compliance Auch Unternehmen können die Möglichkeiten des Web 2.0 für die Kommunikation und Zusammenarbeit in ihren virtuellen Communities nutzen. Vorhandene Lösungen entsprechen allerdings nicht professionellen Anforderungen. Web 2.0 für Unternehmen muss die Flexibilität des Web 2.0 mit der Sicherheit und Stabilität von Enterprise-Applikationen verbinden.

Druckbare Version

Compliance und Wertschöpfung eines Unternehmens Compliance in der Medizin