Unternehmen klagen über steigende Compliance-Ausgaben. Ursache hierfür sind meist neue Regularien. Das gaben 41 Prozent der Befragten aus Nordamerika in einer Studie an, die GMG Insights im Auftrag von Computer Associates durchführte. In Europa sowie Zentral- und Südamerika ächzen 40 Prozent beziehungsweise 29 Prozent der Unternehmen unter erhöhten Compliance-Kosten.
SOX verursacht am meisten Kosten
Auch 55 Prozent der Unternehmen aus dem asiatisch-pazifischen Raum geben mehr Geld für Compliance aus. Ein Grund dafür ist, dass im Frühjahr 2008 die japanische Regierung J-SOX, eine Sicherheits-Gesetzesinitiative für börsennotierte Unternehmen in Japan, in Kraft setzte.
Für rund die Hälfte aller weltweit Befragten hat die Erfüllung der Anforderungen aus dem Sarbanes-Oxley Act von 2002 (SOX) die größten Auswirkungen auf die Kosten, die IT-Organisation sowie das Gesamtgeschäft.
Auch australische Richtlinien wie CLERP-9, AS4360 und ACSI33 wirken sich spürbar auf die Compliance-Kosten in den Unternehmen aus, ebenso die aus Basel II resultierenden Anforderungen der Banken. Als weitere Ursache für gestiegene Compliance-Anforderungen nannten die Befragten die Änderung von Richtlinien.
Manuelle Abläufe dominieren
Der Untersuchung zufolge begegnen die meisten Unternehmen den gestiegenen Compliance-Anforderungen nach wie vor mit weitgehend manuellen Prozessen. Selbst viele große Konzerne, die weltweit tätig sind und eine Vielzahl regulatorischer Anforderungen erfüllen müssen, haben meist keine zentrale Lösung, in der sie die erforderlichen Informationen automatisiert sammeln und verarbeiten können.
Doch nicht nur Entwicklungs-, Herstellungs- und Bilanzierungsprozesse unterliegen regulatorischen Vorgaben, sondern auch die zur Prozessunterstützung eingesetzten IT-Systeme. Mehr als zwei Drittel der Befragten gaben an, dass sie Informationen über den Status ihrer IT-Compliance-Kontrollen in mehreren Kalkulationstabellen und oft in unterschiedlichen Unternehmensbereichen vorhalten.
Compliance-konforme IT
Ob die IT Compliance-konform ist, testet und überwacht im Schnitt ein Drittel der befragten Firmen ebenfalls noch manuell. Bestenfalls bestehen IT-Compliance-Kontrollen aus einer Kombination automatisierter und manueller Prozesse. Nur etwas mehr als 16 Prozent gaben an, dass sie in allen Bereichen weitgehend automatisierte Abläufe haben.
Im Rahmen der Studie "Global report on the status of IT compliance processes" untersuchten die Marktforscher von GMG Insights im Auftrag von CA weltweit insgesamt 13 Richtlinien und Branchenstandards. Die Marktforscher haben dafür 575 IT-Leiter von großen und mittelständischen Unternehmen aus Nordamerika und Europa sowie aus der Asien-Pazifik-Region und aus Zentral- und Südamerika befragt.