Chief Compliance Officer als Dolmetscher

Geschäftlichen Nutzen aus Compliance ziehen

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Regulatorische Vorgaben sollen Unternehmen nutzen, um Synergien zwischen Pflicht und eigenen Zielen zu realisieren. Ein Leitfaden soll zeigen, wie das in der Praxis funktionieren kann.
Compliance-Aufgaben der IT nach dem Modell von Experton/Microsoft.
Compliance-Aufgaben der IT nach dem Modell von Experton/Microsoft.

In Sachen ComplianceCompliance will Michael Kranawetter einen Paradigmenwechsel ausrufen. Statt isolierter Einzellösungen, so der Microsoft-Manager, sollen Unternehmen ein betriebsweites Rahmenwerk aufsetzen. Aufgabe der IT ist es, eine Enterprise Architecture aufzubauen, die flexibel auf wechselnde Regularien reagiert. Alles zu Compliance auf CIO.de

Kranawetters These: Weil Regularien ohnehin umgesetzt werden müssen, sollte das so geschehen, dass Unternehmen daraus Nutzen zur Prozess- und Geschäftsoptimierung ziehen. MicrosoftMicrosoft weiß auch, wie das geht: Der IT-Anbieter hat ein Team aus Juristen, Betriebswirten, Wissenschaftern, Wirtschaftsprüfern und Analysten (den Marktforscher und Berater Experton) an einen Tisch geholt. Das Team - Kranawetter als BWLer mit 15 Jahren IT-Erfahrung ist als Microsofts Ansprechpartner für IT-Sicherheitsfachleute dabei - hat einen Leitfaden entwickelt. Dessen etwas sperriger Titel lautet "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung". Alles zu Microsoft auf CIO.de

Laut Kranawetter und Kollegen verfolgen regulatorische und geschäftliche Anforderungen durchaus gemeinsame Ziele. "Unternehmen können regulatorische Vorgaben als Ausgangspunkt nutzen, um Synergieeffekte zwischen den vorgegebenen Pflichten und den eigenen Zielsetzungen zu realisieren", so der Manager.

Für die IT liegt die Verbindung mit dem Business in folgenden fünf Feldern: Informationsschutz, Risiko-Management, Informations-Management, internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Konkret geht es dabei etwa um Standards wie COBIT (Control Objectives for Information and related Technology) und die IT Infrastructure Library (ITIL) sowie um Basel II, Eurosox und der Standard für Security-Risk-Management "Information Technology - SecuritySecurity Techniques - Information Security Risk Management", kurz: ISO/IEC 27005:2008. Alles zu Security auf CIO.de