Rechtliche und interne Vorgaben sind entscheidend für die Umsetzung eines IT-Compliance-Projekts. Unternehmen sollten sich jedoch nicht vom vorherrschenden Begriffswirrwarr irritieren lassen, sondern die Umsetzung Schritt für Schritt nach einem zuvor festgelegten Plan durchführen.

IT-Compliance verpflichtet Unternehmen dazu, gesetzliche Vorgaben einzuhalten und diese laufend zu überwachen. Hinzu kommt die Selbstüberwachung nach speziell definierten Regeln, die einen Missbrauch geschäftlicher Daten verhindern soll. Derzeit gibt es mehrere tausend Compliance-Vorschriften und Regelwerke wie SOX, GDPdU oder KonTraG, die eine wahrheitsgetreue Berichterstattung garantieren sollen. Dabei stellt sich die Frage, wie Unternehmen diese Regelflut am besten in ein gesetzeskonformes IT-Compliance-System umsetzen. Hier geht es nicht ohne genaue Planung, denn die rechtlichen Vorgaben und Empfehlungen bilden nur das Fundament, auf dem Unternehmen ihre individuelle IT-Compliance-Lösung aufsetzen müssen.

Abstimmen auf die Anforderungen des Unternehmens

Da Compliance keine Insellösung darstellt, sondern die gesamten Unternehmensprozesse umfasst, ist zunächst eine exakte Analyse der bestehenden Systeme erforderlich. Dadurch lassen sich potenzielle Schwachstellen aufdecken und nötige Investitionen feststellen. Die Transparenz von Prozessen und Informationen muss bei der Umstellung an vorderster Stelle stehen. Ebenso muss gewährleistet sein, dass geschäftsrelevante Daten unter Einhaltung gesetzlicher Sicherheitsstandards zuverlässig archiviert werden. Eine umfassende Beratung ist daher fast unerlässlich, denn bestehende Systeme sind häufig veraltet, schwerfällig oder agieren getrennt voneinander. Zudem müssen sich die Planer auch im Klaren darüber sein, dass es keine vorgefertigten Komplettlösungen gibt, die alle Probleme sofort beseitigen. Vielmehr ist die Umstellung vielschichtig und bedeutet in der Praxis, einen Prozess nach dem anderen zu modernisieren.

Verantwortlichkeiten festlegen

Ganz gleich, ob ein Unternehmen eine große Compliance-Abteilung beschäftigt oder in einer Firma nur ein einziger Mitarbeiter damit betraut ist: Die Verantwortlichkeiten für die internen Richtlinien sollten gleich von Anfang an festgelegt werden. Durch die Zuteilung von Bereichen und Ernennung fester Ansprechpartner für die Mitarbeiter lassen sich spätere Missverständnisse vermeiden. Neben einer eingehenden Analyse der Unternehmenssituation und dem Bestimmen fester Compliance-Entscheidungsträger müssen sich Unternehmen auch um eine lückenlose Dokumentation sämtlicher Prozesse bemühen. Das ist besonders wichtig, um Unregelmäßigkeiten aufzudecken und Datenmissbrauch oder gar Bilanzfälschungen vorzubeugen.

Compliance-konforme Speicherung umfasst nicht nur die Finanzbuchhaltung und kaufmännische Dokumente, sondern erstreckt sich über die komplette Korrespondenz, auf der Unternehmen ihre Verbindlichkeiten und Forderungen begründen. Weil diese Daten nur allzu oft sowohl in Akten lagern als auch per E-Mail ausgetauscht werden, müssen Unternehmen diese verschiedenen Ablagesysteme und Dokumentenformate vereinheitlichen. Denn im Zweifelsfall sind diese Unterlagen nicht vor absichtlicher oder versehentlicher Manipulation geschützt. Außerdem stehen sie nur selten zur Verfügung, wenn sie angefordert werden. Hier muss eine IT-Compliance-Lösung sicherstellen, dass die Dokumente sowohl nach den regulatorischen Anforderungen gespeichert werden als auch denjenigen Mitarbeitern zur Verfügung stehen, die entsprechende Zugriffsrechte besitzen.

IT-Compliance als Chance

Unabhängig von der eingesetzten Lösung sollten Unternehmen nicht den Fehler begehen, die Compliance-Richtlinien als lästiges Pflichtenheft zu betrachten. Durch die damit verbundene IT-Umstrukturierung bietet sich ihnen vielmehr die Chance, veraltete Systeme zu ersetzen und gegebenenfalls neue Geschäftsbereiche zu erschließen.