Microsoft veröffentlicht Leitfaden für IT-gestützte Compliance

Microsoft hat in Zusammenarbeit mit der Experton Group einen Leitfaden für die effiziente Einhaltung von Richtlinien durch automatisierte IT-Prozesse erstellt. Er soll Geschäftsführern, Beratern und IT-Entscheidern zeigen, wie sie mit geringem Aufwand für Compliance sorgen sowie gleichzeitig Arbeits- und Business-Prozesse verbessern können. Das Whitepaper „Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung“ (PDF) steht ab sofort zum kostenlosen Download bereit.

„Unternehmen müssen Regularien wie das Bilanzrechtsmodernisierungsgesetz ohnehin umsetzen“, sagte Michael Kranawetter, Chief Security Advisor bei Microsoft Deutschland und Herausgeber des Leitfadens, gegenüber silicon.de. Microsoft wolle mit dem beschriebenen IT-Infrastruktur-Compliance-Modell jedoch zeigen, dass aus der Umsetzung dieser Regelwerke auch geschäftlicher Nutzen entstehen kann. Auf Basis bestehender Systeme ließen sich mit wenigen Schritten rund 80 Prozent der Vorschriften durch ein Fünftel des Gesamtaufwands abdecken.

Angesichts der unterschiedlichen Branchenanforderungen und vieler Sonderfälle gibt der Leitfaden keine allgemein gültige Übersicht der einzuhaltenden Verordnungen. Stattdessen beschreibt er anhand der Grundziele Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt, wie möglichst viele Anforderungen erfüllt werden können.

Kranawetter rät den Firmen, Compliance als Treiber für eine dynamische IT-Infrastruktur einzusetzen. Er hat fünf Kernbereiche definiert, in denen ein Unternehmen gut aufgestellt sein sollte: Informationsschutz, Risikomanagement, Informationsmanagement, internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Das seien die Themenfelder, die sich sowohl aus gesetzlichen als auch aus betriebswirtschaftlichen Anforderungen herauskristallisieren.

Durch die enge Integration der IT in die Geschäftsprozesse können Kranawetter zufolge Workflows so gestaltet werden, dass Kontrollaufgaben automatisiert ablaufen und relevante Daten automatisch erfasst und aufbereitet werden. Dadurch ließen sich hohe Einsparpotentiale nutzen sowie Workflows und Reports effizient gestalten.

Das im Leitfaden dargestellte „IT-Infrastruktur Compliance Reifegradmodell“ soll Unternehmen dabei helfen, ihren aktuellen Compliance-Status einzuschätzen. Es definiert dazu vier Stufen: Auf dem untersten Reifegrad „Basis“ leistet IT nur einen geringen Beitrag zur Compliance und ist eine reine Kostenstelle, ohne Bezug zum operativen oder strategischen Geschäft. Auf der Stufe „Standardisiert“ trägt IT sichtbar zur Compliance bei und agiert als effizient geführte Kostenstelle, hat aber noch wenig Bezug zum operativen und strategischen Geschäft. Eine ebene höher („Rationalisiert“) hilft IT wesentlich bei der Einhaltung von Richtlinien und operiert als „Business Enabler“ mit deutlichem Bezug zum operativen und strategischen Geschäft. Auf dem höchsten Reifegrad „Dynamisch“ gilt IT als unentbehrlich für die Compliance und als strategische Ressource, komplett eingebettet in das operative und strategische Geschäft.

Das Modell zeige auch auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen optimieren lasse, um einen höheren Reifegrad zu erreichen, so Kranawetter. Diese seien von internationalen und etablierten Standards abgeleitet worden.

„Das Modell kann dabei helfen, eine Grundlage für das Verständnis der Compliance und deren Beitrag zur Geschäftsoptimierung zu schaffen“, erklärt Kranawetter. Bei einer vertieften Betrachtung müsse naturgemäß auf die jeweilige Situation des Unternehmens eingegangen werden. „Ist die Basis jedoch geschaffen, so ist der Weg für die Feinabstimmung geebnet.“