Dass Compliance und Identity & Access Management (IAM) irgend etwas miteinander zu tun haben, pfeifen die Spatzen inzwischen von den Dächern. Aber wie eng die Verbindung zwischen den beiden wirklich ist, wissen die wenigsten.

Das wurde mir auf einem gemeinsamen Event von Oracle und dem Wirtschaftsprüfungs-Riesen Deloitte vorige Woche in Wien wieder mal ganz klar gemacht. Die Teilnehmer waren durchweg IT-Profis von großen österreichischen Banken und Konzernen, und in der Kaffeepause habe ich einige von ihnen gefragt, welche Compliance-Strategie sie fahren und wie das ihre Investitionen im IAM beeinflusst. Das Ergebnis waren durchweg ratlose Blicke. „Für Compliance ist bei uns die Innenrevision zuständig“, meinte einer. Anders ausgedrückt: Nicht meine Baustelle…

Ich halte diese Einstellung für falsch – und für fatal. Unternehmen riskieren dadurch nämlich, in die Compliance-Falle zu tappen, also im besten Fall mehr als nötig für das begehrte Testat der Wirtschaftsprüfer zu bezahlen, weil der Prüfer länger gebraucht hat als nötig. Schlimmstenfalls greift sogar die persönliche Haftung des Vorstands oder Geschäftsführers für nicht ausreichende Risikovorsorge im IT-Bereich. Und wissen Sie eigentlich, wie wütend ein Vorstand sein kann, wenn er den Kopf hinhalten muss für Fehler seiner IT-Abteilung?

Viele Firmen, die das Compliance-Thema nicht rechtzeitig ernst genug genommen haben, waren in den letzten Jahren aufgrund der schärferen Gesetze wie Sarbanes-Oxley oder KonTrAG gezwungen, nachträglich irgendwelche mehr oder weniger handgestrickten Systeme zu implementieren, um den Nachweis des Einhaltens interner oder externer Vorschriften erbringen zu können. Das ist kostspielig und uneffizient und einer der Gründe, weshalb das Thema Compliance bei den meisten Managern als ein großes schwarzes Loch verstanden wird, in das man Geld auf Nimmerwiedersehen hineinschaufelt.

Dabei kann Compliance mit Hilfe von IT-Technologien ganz konkreten Business Value stiften.

Nehmen Sie zum Beispiel die Pharmaindustrie, die vielleicht am stärksten regulierte Branche der Welt. Dort muss jedes in der Produktion verwendete Computersystem (und es sind Hunderte!) nach strengen Regeln zertifiziert werden, und es muss anhand von Protokollen jederzeit nachweisbar sein, dass die Systeme einwandfrei gearbeitet haben, also keine Abweichungen von vorgegebenen Qualitätsnormen und Vorschriften verursacht haben.

[Vorherige]  1 2 3  [Nächste]