Die externen Anforderungen an die Compliance im Unternehmen - darunter BDSG, SOX und Basel II - werden immer umfangreicher. Daneben nehmen auch interne Sicherheits-Richtlinien oder Vorgaben von Geschäftspartnern zu, beispielsweise PCI-DSS für die Abwicklung von Kreditkarten-Transaktionen. Marktforschern zufolge müssen große Unternehmen meist mehrere Millionen Euro investieren, um alle Bestimmungen einhalten zu können.
Die Studie untersucht den aktuellen Stand, wie Unternehmen IT-Systeme zur Erfüllung von Compliance-Anforderungen einsetzen. Ein Ergebnis: Unternehmen richten den Fokus stark darauf, internen Compliance-Vorgaben gerecht zu werden. Dagegen werden neue externe Vorgaben meist in interne Richtlinien überführt, wodurch gesetzliche Regelungen oft schon durch unternehmenseigene Bestimmungen erfüllt werden.
Impuls von achter EU-Richtlinie erwartet
Dennoch messen IT-Manager externen Anforderungen einen hohen Stellenwert bei. In Sachen Compliance werden sie sich künftig stark daran orientieren, die Bilanzierungsvorschriften einzuhalten - ebenso wie den Datenschutz, der verstärkt ins Blickfeld der Legislative gerät. Ein Impuls wird zudem von der kommenden 8. EU-Richtlinie erwartet. Weitere Entwicklungen, die sich auf Compliance-Projekte auswirken werden: Cyber-Kriminalität bringt weniger breite als vielmehr gezielte Angriffe hervor, und der SOX wurde gelockert.
Die Compliance-Regeln wirken sich auch indirekt aus. Durch die Anforderungen entsteht für die Unternehmen nämlich der Zwang, sich mit den eigenen Prozessen auseinanderzusetzen. Diese Herausforderung nutzen viele als Anreiz, ihre Prozesse zu optimieren - mit einschlägigem Ergebnis: 70 Prozent des Compliance-Erfolgs werden allein durch Prozessverbesserungen erzielt, so eine Einschätzung in der Studie.
Fakt ist, dass Prozesse weiter automatisiert werden müssen - weil immer mehr Compliance-Aufgaben von gleichbleibend vielen Mitarbeitern bewältigt werden müssen und weil die Anforderungen durch das Top-Management wachsen. Zudem zeige die Studie, "dass die Zentralisierung sämtlicher Anforderungen an eine Stelle“ für eine erfolgreiche Compliance-Erfüllung entscheidend sei, sagt Professor Michael Amberg von der Universität Erlangen-Nürnberg. "Viele Compliance-Richtlinien überlappen sich zu fast 80 Prozent, und nur ein geringer Anteil ist individuell zu handhaben."
Unternehmen analysieren Einsparungen nicht
Derweil hakt es noch an der Evaluation. Zwar führen Unternehmen Compliance-Lösungen mit dem Ziel ein, Kosten zu sparen. Doch die tatsächlichen Einsparungen werden von kaum einem Betrieb analysiert. Ebenso wenig quantifizierbar scheint auch der höhere Sicherheits-Level, der durch IT-Lösungen erreicht wird. Erhebungen des Beratungshauses Experton Group zufolge setzt die Hälfte der Unternehmen Compliance-Lösungen ein. Für 2007 wird erwartet, dass der Markt für Sicherheitslösungen um zwölf Prozent wächst.
Im Mittelpunkt der Compliance-Lösungen stehen Security-Information- und Event-Management-Systeme (SIEM). Diese können den hohen Personal- und Zeitaufwand reduzieren sowie Bedrohungen in Echtzeit identifizieren und entsprechende Berichte automatisch generieren.
Die Universität Erlangen-Nürnberg und der Lösungsanbieter Novell führen die Studie im Zeitraum Februar bis Juni 2007 durch.