Compliance: IT-Kosten in Gewinn umwandeln

Im Rahmen eines exklusiven Webcasts hat ZDNet UK mit drei führenden Experten für Compliance und deren Einfluss auf IT-Abteilungen die besten Compliance-Strategien diskutiert.

Als Vertreter der IT-Anbieter nahm Margaret Brooks daran teil. Sie ist Vizepräsidentin für strategische Lösungen bei CA und verfügt über 20 Jahre Branchenerfahrung. Zudem leitet sie das Compliance-Softwareteam bei CA seit mehreren Jahren.

Michael Colao ist Direktor für Informationsmanagement und Leiter des Bereichs Informationssicherheit bei der Investmentbank Dresdner Kleinwort Wasserstein. Er kennt sich daher bestens mit den Auswirkungen der Einhaltung komplexer – und mitunter konkurrierender – internationaler Gesetze für die IT-Abteilung eines multinationalen Unternehmens aus.

Und schließlich war Erol Mustafa mit von der Partie, Ernst & Young-Partner mit Verantwortung für die IT Internal Audit-Services und Information Analysis-Lösungen des Unternehmens in Großbritannien. Er vertritt die Sichtweise eines Beraters und verfügt über mehr als 15 Jahre Erfahrung im Bereich Finanz- und IT-Audits, Projektmanagement und Entwicklung von Informationssystemen.

ZDNet: Compliance ist ein Wort, das im Moment überall kursiert. Aber was bedeutet es tatsächlich und welche Rolle muss die IT dabei spielen?

Brooks: Compliance beschreibt im Grunde genommen die Einhaltung gesetzlicher Richtlinien verschiedener Länder. Es gibt verschiedene Vorgaben, von denen sich die meisten um Finanzkontrollen drehen, also Gesetze wie Sarbanes-Oxley oder Basel II. In einer weiteren Kategorie geht es um den Datenschutz, wie beispielsweise im europäischen Datenschutzgesetz, und in den dritten Bereich fallen Vorschriften aus dem Bereich Betrug wie die Geldwäscherichtlinie. Die IT-Abteilung hat hier zwei Aufgaben zu bewältigen: entsprechende Technologien zur Verfügung zu stellen, damit die Gesetze eingehalten werden können, und diesen Prozess insgesamt einfacher und produktiver zu gestalten. Da die Informationstechnologie in modernen Unternehmen allgegenwärtig ist, kommt die IT-Abteilung nicht mehr um das Thema Compliance herum, das Auswirkungen auf das gesamte Unternehmen hat.

ZDNet: Nimmt die Anzahl der Gesetze, mit denen sich europäische Unternehmen auseinander setzen müssen, tatsächlich zu oder war Compliance schon immer eine Aufgabe von Unternehmen?

Mustafa: Es gab schon immer Compliance-Anforderungen für an der Börse zugelassene Unternehmen. Aber zweifellos ist auch eine Zunahme der Komplexität und Vielfältigkeit von IT-Auflagen zu verzeichnen. Der Einfluss dieser beiden Faktoren auf die IT-Abteilung macht einen ganzheitlichen und unternehmensweiten Ansatz erforderlich, um diese Veränderung bewältigen zu können.

Colao: Ich möchte hinzufügen, dass viele neue Gesetze verabschiedet wurden und manches komplexer geworden ist, aber die grundlegenden Anforderungen bleiben dieselben. Es gibt natürlich eine große Anzahl neuer Vorgaben zur Informationssicherheit, aber selbst wenn sich all diese Gesetze morgen in Luft auflösten, würde ich deswegen nichts an der Sicherheitsphilosophie meiner Bank ändern. Wir haben sichere Prozesse, aber nicht weil uns das irgendwelche Richtlinien vorschreiben, sondern weil unsere Kunden sichere Bankgeschäfte von uns erwarten. Die meisten dieser Vorschriften beruhen auf einer grundlegenden Sorgfaltspflicht gegenüber unseren Partnern und Kunden und sind längst gesetzlich verankert.