Internationale sowie nationale Richtlinien und Gesetze fordern eine striktere Einhaltung von Compliance-Vorgaben. Dazu gehören etwa der Sarbanes Oxley Act (SOX), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder EuroSOX, die kommende achte EU-Richtlinie.
Compliance im IT-Umfeld
Risiko-Management, Corporate Governance und Compliance zählen daher zu den heißen IT-Themen der kommenden Jahre. Bei der Einhaltung der Compliance im IT-Umfeld ist ein zentraler Aspekt, wer auf welche Informationen im Unternehmensnetzwerk zugreifen kann und von wem wann welche Berechtigungen dazu erteilt wurden. Doch Sicherheitslücken durch die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen stellen die bisherige Praxis bei der Verwaltung und Kontrolle von Zugriffsrechten in Frage.
Um Risiken wie nicht gelöschte Benutzerkonten ehemaliger Mitarbeiter, inkonsistente Zugriffsbedingungen oder die Fehler bei der manuellen Administration zu vermeiden, wird ein umfassendes Management von Anwendern und Identitäten, Rechten und Ressourcen nötig. Dieses umfasst unter anderem die Erstellung und Verwaltung digitaler Identitäten und Kennungen, die Realisierung von Rollen- und Mandanten-basierten Berechtigungskonzepten, Self-Service-Funktionen mit gesicherten Genehmigungs- und Freigabe-Workflows sowie umfassende Reporting- und Audit-Funktionen.
Fragmentierte GRC-Aktivitäten
Häufig jedoch sind GRC-Aktivitäten in Unternehmen noch nicht einheitlich und durchgängig gestaltet. Eine organisatorische Fragmentierung aufgrund unzureichend koordinierter, abteilungsbezogener oder lokaler GRC-Aktivitäten kann inkonsistente Strategien, Probleme beim Risiko-Management sowie mangelnde Transparenz und mehrfachen Arbeitsaufwand zur Folge haben.
Hinzu kommt, dass Abteilungen und Geschäftsbereiche Risiko-Analysen sowie Compliance-Überwachung auf Grundlage unterschiedlicher Kennzahlen, Methoden und Bewertungs-Standards sowie Software-Lösungen umsetzen. Damit wird es schwierig, Daten so zu aggregieren, dass eine einheitliche Sicht darauf entsteht.
Automatisierte Kontrollen, weniger Fehler
Durch integrierte GRC-Lösungen lassen sich automatisierte Kontrollen in sämtlichen Geschäftsprozessen einführen. Hinzu kommen - bei steigendem Automatisierungs-Grad - eine geringere Fehleranfälligkeit, eine hohe Qualität und Aktualität der Daten sowie die Risiko-Minimierung bei Prozessänderungen durch konsequentes Regel-Management.
Das spart im Vergleich zu manuellen Überwachungs-Aktivitäten Zeit und Kosten, zudem werden neue Vorschriften zeitnah und kostengünstig umgesetzt und eingehalten.
In die Glaskugel geschaut
Schließlich haben die Analysten noch in die Glaskugel geschaut. Beispielsweise gehen sie davon aus, dass 75 Prozent der großen und mittelgroßen Unternehmen im Jahr 2008 Lösungen kaufen werden, um die Risiken und Compliance-Anforderungen automatisiert zu überwachen und zu steuern. Der Wahrscheinlichkeitsfaktor hierfür liegt bei 0,8, bei einem Höchstwert von 1,0. Mit einer Wahrscheinlichkeit von 0,7 wird ab dem Jahr 2009 das Thema Corporate Social Responsibility (CSR) in Aufsichtsrat und Management stärker priorisiert als die Erfüllung gesetzlicher Anforderungen.
Mit einem Wahrscheinlichkeitsfaktor von 0,7 wird sich bis 2012 die Anzahl der gesetzlichen Anforderungen, die direkte Auswirkungen auf IT-Abläufe haben, verdoppeln. Unternehmen mit ganzheitlicher GRC-Strategie verringern im Laufe des Jahres 2011 durch standardisierte und automatisierte Kontroll- und Überwachungsprozesse den Aufwand um 70 Prozent - verglichen mit manuellen Abläufen. Dadurch amortisieren sich die Ausgaben für GRC-Lösungen in jedem Fall.
Die Einschätzungen der Marktforscher von Gartner sind in der Expertise "The 2007 Compliance and Risk Management Planning Guidance: Governance Becomes Central" nachzulesen.