Compliance richtig umsetzen
Artikel erschienen in Swiss IT Magazine 2006/18
Compliance – unter diesem Oberbegriff wird die Einhaltung von Gesetzen, Richtlinien und branchenspezifischen Vorschriften in Unternehmen und Organisationen zusammengefasst. Vor allem die Begriffe Basel II, HIPAA und SOX fallen in diesem Zusammenhang immer wieder. Darüber hinaus sind international agierende Unternehmen gezwungen, die mittlerweile zahlreichen Regularien der unterschiedlichen Länder einzuhalten, in denen sie aktiv sind. Wo liegt nun die Verzahnung von Informationstechnologie und Compliance?
Immer mehr Geschäftsprozesse im Unternehmen sind heutzutage ohne Hilfe der Informationstechnologie gar nicht mehr möglich. Durch die Automatisierung und elektronische Abbildung der Geschäftsprozesse ist es mit einfachen Mitteln möglich, Informationen zugänglich zu machen und zu verteilen, doch diese Vereinfachung birgt auch ein hohes Risiko. Ob revisionssicherer elektronischer Schriftverkehr mit Kunden einer Bank, der Umgang mit personenbezogenen oder mit sensiblen Daten in einem regulierten Markt, die Zugriffskontrolle und der Schutz von sensiblen Daten sind heute bestimmende Voraussetzungen für die Umsetzung der Geschäftsprozesse. Ist es dennoch zu einem unautorisierten Zugriff auf sensible Daten oder Funktionen gekommen, muss das Unternehmen nachweisen können, dass die Verhaltensregeln befolgt wurden und tatsächlich nur Berechtigte (mit entsprechenden Kenntnissen) Zugriff hatten. Die Einhaltung der Vorschriften hat demnach existenzielle Bedeutung für jedes Unternehmen.
Die IT kann mit speziellen Lösungen dabei helfen, die Prozesse im Unternehmen entsprechend zu gestalten. Doch ist die Sicherstellung von Compliance im Unternehmen in erster Linie eine organisatorische Herausforderung, die deshalb durch entsprechende organisatorische Massnahmen auf höchster Management-Ebene gestützt werden sollte. Erst sind die Prozesse zu analysieren, danach können entsprechende Tools beschafft werden. Da durch Compliance jedoch in einer nicht unerheblichen Art und Weise interne Ressourcen gebunden werden und entsprechende Kosten für die Implementierung und den fortlaufenden Betrieb anfallen, stellen sich viele Unternehmen der Komplexität der Anforderungen nur ungern. Doch eine verzögerte Implementierung kann zu empfindlichen Strafen wegen Nichteinhaltung der Vorschriften und dadurch zu noch höheren Kosten führen. Die Herausforderung besteht also darin, die für das Unternehmen tatsächlich relevanten Vorschriften und Richtlinien zu erkennen und möglichst rasch umzusetzen.
Da gesetzliche Vorgaben und regulatorische Anforderungen aus Sicht der IT häufig sehr vage Formulierungen sind und es keine klaren Vorschriften bezüglich deren praktischer Umsetzung gibt, müssen die Gesetze zunächst interpretiert und bewertet werden. Dies kann nur von Personen mit juristischem Hintergrund erfolgen und ist keineswegs Aufgabe der IT! Die gesetzlichen Anforderungen müssen in die Sprache des Unternehmens übersetzt werden, um daraus auch für Nicht-Juristen verständliche Unternehmensrichtlinien (Company Policies) ableiten zu können. Die IT-Verantwortlichen wiederum wandeln diese Unternehmensrichtlinien in konkrete Regeln – die einfachste Form der Darstellung einer Richtlinie – für den Betrieb um und sind für die Umsetzung und Einhaltung dieser Regeln verantwortlich. Das setzt Vertrauen in die IT und deren entsprechende Umsetzungskompetenz voraus. Die Gesamtprozessverantwortung bleibt allerdings immer bei einer strategischen und übergeordneten (Stabs-)Stelle.
Um konkrete Regeln für die IT-Systeme definieren zu können, müssen die folgenden Punkte auch bei der Definition und Formulierung der Unternehmensrichtlinien im Detail betrachtet werden:
1. Benutzer / Benutzergruppen
2. Daten / Funktionen
3. Regeln / Berechtigungen
Während die Bestimmung von Benutzern und Daten immer unternehmensspezifisch ist und von der konkreten Anforderung abhängt, ist die Umsetzung der Berechtigungsmatrix immer wieder von den gleichen Modellen und Vorgehensweisen geprägt. Wird der prozessübergreifende und zentrale Ansatz der Compliance konsequent beachtet, können Unternehmen dann langfristig sehr agil auf Veränderungen reagieren und eine bessere Transparenz und Flexibilität ihrer Prozesse gewährleisten. Doch viele Unternehmen haben Schwierigkeiten mit der Umsetzung von Compliance-Vorgaben. Nicht selten werden die Komplexität des Themas und vor allem der organisatorische Aufwand unterschätzt, der wesentlich höher ist als der technische. Darüber hinaus scheitern Chief Security Officers häufig an der eigenen Unternehmensorganisation, da unerwartete Kommunikationsprobleme auftreten – die betroffenen Bereiche scheinen nicht die gleiche Sprache zu sprechen. Deshalb muss die Compliance-Problematik als bereichs-übergreifendes Thema angesehen und mit entsprechender Entscheidungsgewalt ausgestattet werden. Da Top-down-Entscheidungen vonnöten sind, muss das Management ausserdem zu jeder Zeit in den Prozess eingebunden sein.
Ein geradezu klassischer Fehler liegt in der unzureichenden Detailtiefe bei der Formulierung der Anforderungen und der daraus resultierenden Analyse und Umsetzung. Die dadurch entstehenden Unschärfen erschweren das Auditing und Reporting und somit die Beurteilung des tatsächlichen Risikos. Unter Umständen führt dies sogar dazu, dass der Prüfer die Umsetzung nicht anerkennt. Bei der Umsetzung ist daher stets die strikte Trennung der Anforderungen in so genannte Compliance Frameworks zu beachten.
Ein besonders wichtiger Punkt ist die Nachvollziehbarkeit des Genehmigungsprozesses. Als Mittel zum Zweck gilt hierfür das Identity & Access Management (IAM). War IAM früher das Werkzeug des Administrators, ist es heute vor allem ein Werkzeug des Managements für Auditing, Reporting und Risikoabschätzung. Die Berechtigungsvergabe besteht häufig aus einem durch den Reifegrad bestimmten Mix aus workflowbasierten Berechtigungsanfragen, regelbasierter Berechtigungsvergabe und rollenbasierten Berechtigungen, die durch die Compliance Frameworks eingeschränkt werden (Segregation of Duty).
1. Analyse der Gesetze
- Prüfung auf Relevanz
- Zuordnung zu Unternehmens bereichen
- Priorisierung
- Beachtung der Fristen
2. Richtlinien
- Ableitung von Richtlinien aus dem Gesetz
- Zuordnung zu Geschäftsprozessen
- Zuordnung zu IT-Bereichen
3. Massnahmen für die Systeme
- Ableitung von Massnahmen zur System- oder Datentrennung
- Ableitung von Regeln für die Berechtigungsvergabe
- Überprüfung der bestehenden Berechtigungsstruktur
1. Zusammenarbeit definieren. Verantwortliche festlegen, die mit juristischer Kenntnis aus den Compliance-Vorgaben Richtlinien ableiten und diese in der Sprache des Unternehmens formulieren.
2. Ausreichende Detailtiefe bei Identifikation der Daten und Benutzerkreise gewährleisten, um Unschärfen und Regelverstösse zu vermeiden und somit Audit, interne und externe Revisionen zu ermöglichen.
3. Strikte Trennung, woher die konkrete Anweisung kam, die zur angewendeten Regel führte. Notfalls zwei identische Prozesse aufsetzen, sollten zwei Gesetzesvorgaben vorliegen. Dieses Vorgehen ermöglicht spätere Wartbarkeit und Nachvollziehbarkeit, da gesetzliche Anforderungen einem stetigen Wandel unterworfen sind.
· Strategisches Thema Executive Sponsor setzen.
· Komplexität nicht unterschätzen und sich nur auf die Anforderungen beschränken.
· Organisation vor der Technik people and processes first! Erst die Prozesse analysieren und bereichsübergreifend beschreiben, dann ein geeignetes Tool für deren Umsetzung auswählen.
· Einfache Einzelschritte gehen und dabei nur die wirklich existierenden Anforderungen abdecken. Beschränkung auf das Notwendige führt zu einfacherem Auditing und besserer Wartbarkeit.
Christian Mattheis arbeitet als Solution Manager bei Avanade, einem Joint Venture von Accenture und Microsoft.