Frameworks helfen bei den vielfältigen Compliance-Anforderungen

Aufgrund unzureichender Prozesse entsprechen erst wenige Unternehmen den vielfältigen gesetzlichen Pflichten. International standardisierte Regelwerke wie COBIT und ITIL helfen, die Compliance-Anforderungen umzusetzen.

Die Firmenmanager drohen sich in einem Dickicht rechtlicher Verordnungen zu verirren. So kommen nach einer Studie von Ernst & Young derzeit beispielsweise nur ein Drittel der Unternehmen dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KontrAG) nach. Bei anderen vom Gesetzgeber auferlegten Pflichten sieht es kaum anders aus. Die hauptsächliche Ursache besteht darin, dass vielfach die internen Prozesse darauf noch nicht ausgerichtet sind. Dadurch mangelt es an der Transparenz und den notwendigen Steuerungsmöglichkeiten.

Frameworks unterstützen bei der Problemlösung

Hilfestellung kommt von verschiedenen international anerkannten Regelwerken, die mit ihren Best Practice-Modellen den Unternehmen unter die Arme greifen. Zu den wirkungsvollsten Standards gehören insbesondere COBIT (Control Objectives for IT and related Technology), ITIL (Standard IT Infrastructure Library) und das Microsoft Operations Framework (MOF). Weitere relevante Ansätze sind etwa ISO17799 als Regelwerk zur Informationssicherheit und etwa BS15000 für das IT-Service Management, dass mehr und mehr internationale Akzeptanz erfährt.

Diese Frameworks dienen als Orientierung zur Gestaltung transparenter Unternehmensabläufe, indem sie beispielsweise darin unterstützen, eine Prozesslandkarte zu entwickeln. Auf ihrer Grundlage lassen sich mögliche Verbesserungspotenziale erkennen und Risiken identifizieren. Zudem erhalten die Anwender damit Instrumente, mit denen sie eine flexible Veränderbarkeit in den Prozessstrukturen verankern können. Damit werden bei dem permanenten Wandel der Unternehmen Friktionen vermieden und lassen sich auch neue Compliance-Anforderungen vergleichsweise einfach abbilden. Zudem können in einer klar gestalteten Prozesslandschaft zukünftige Technologien mit geringerem Aufwand implementieren.

Der zentrale Nutzen solcher Regelwerke besteht deshalb darin, die Organisationsverhältnisse übersichtlich und in ihren kritischen Abläufen messbar zu machen. Die Frameworks liefern dafür praxisnahe Methoden zum Aufbau von Kennzahlensystemen, die eine qualitative Steuerung der relevanten Leistungsprozesse möglich machen.

Einzelne Standards nicht ausreichend

COBIT kommt in Sachen Compliance die größte Bedeutung bei. Dieser Standard diente ursprünglich als Modell für die IT-Revision zur Prüfung der Risikofaktoren von den zentralen Wirtschaftlichkeitsbedingungen über die Gesetzeskonformität bis hin zur Sicherheit. Zur Überprüfung werden in diesem Konzept sowohl strukturelle als auch konkrete Kontrollziele definiert, auf deren Basis eine Revision der IT stattfinden kann. Neben der Wirkungsweise der Prozesse werden auch die dabei einbezogenen personellen und technischen Ressourcen bewertet.

Ausgangspunkt von COBIT war die Erkenntnis, dass für die IT-Revision sehr viele Teilmodelle existieren. Das Regelwerk integrierte sie deshalb in einem umfassenden Ansatz und berücksichtigt dabei über 40 Standards, wozu auch ITIL gehört. Im Gegensatz zu COBIT, das eine Gesamtkontrolle der IT bezweckt, konzentriert sich ITIL auf das Service-Management als Teilbereich der IT. MOF wiederum erweitert das ITIL-Modell zusätzlich um die speziellen operativen Abläufe mit Microsoft-Lösungen.

Diese Frameworks ergänzen sich mit ihrem jeweiligen Fokus, zumal sich auch die darin definierten Prozesse einander zuordnen lassen. Allerdings ist davor zu warnen, sie in Compliance-Projekten sofort alle gleichzeitig zu berücksichtigen. Denn auch wenn diese Regelwerke praktisch der einzige Weg sind, um nachhaltig den gesetzlichen Anforderungen ausreichend gerecht zu werden, sind wegen der Komplexitätsproblematik überschaubare Einzelschritte zu empfehlen.