Compliance treibt den CIO
Das Wort «compliance» stammt vom englischen «to comply with». Sinngemäß steht compliance heute für «Handeln im Einklang mit geltenden Regeln». Mit dieser Definition allein wird der Compliance-Funktion jedoch nicht Genüge getan. Es muß eine ganzheitliche Betrachtung vorgenommen werden.
Den Bestimmungen der in Gesetze und Verordnungen verankerten Corporate Governance zu entsprechen ist eine der obersten Prioritäten für alle Managementdisziplinen geworden. Somit auch für den CIO. In der Vergangenheit waren Kostenreduktion und Prozessverbesserungen der Hauptfokus der meisten IT-Projekte. Die neuen Bestimmungen sind darauf gerichtet, die Art und Weise vorzugeben, in der Unternehmen ihre Informationen verwalten und darüber kommunizieren. Die Einhaltung dieser Bestimmungen kann in drei Kategorien eingeteilt werden: Finanziell, Privatsphäre und regulierend: Finanzielle Einhaltungsbestimmungen wurden geschaffen, um Unternehmen ‚zu ermutigen‘, Prozesse einzuführen, die sicherstellen, das Informationen kontrolliert und geschützt sind, so das alle Parteien, sowohl intern als auch extern, sich auf die Richtigkeit der Information verlassen können. Die Bestimmungen zum Schutz der „Privatsphäre“ wurden dafür geschaffen, um die persönlichen Informationen einer Person zu schützen, die mit einem Unternehmen oder Organisation interagiert. Die Einhaltung der regulatorischen Bestimmungen (der derzeit am meisten entwickelte Bereich) betrifft in hohem Maße auch die Leitung des Informations-Managements, d.h. den CIO.
Diese drei Kategorien von compliance haben sehr ähnliche Erfordernisse in Bezug auf die Lenkung und Steuerung von Inhalten und Informationen. Die Genauigkeit und Richtigkeit der Inhalte und Informationen sind von wesentlicher Bedeutung für die Darstellung und Beurteilung eines Unternehmens in der Öffentlichkeit. Was in derVergangenheit eher ein informeller Prozess war, wird jetzt formalisiert, um sicherzustellen, das Unternehmen lebensfähig bleiben und wachsen.
In der Vergangenheit wollten viele Unternehmen jede Stufe des Content Lifecycles unabhängig mit separaten Prozessen, Systemen, Lagern und Techniken verwalten. Neben den Direktiven zur Steigerung der Effizienz, ist es die Aufgabe des CIOs diese Prozesse „Audit-fähig“ zu machen.
Es wäre fatal, diese Aufgaben nur als notwendiges Übel zur Einhaltung der Bestimmungen und zur Vermeidung von eventuellen Strafen zu sehen. Unternehmen sollten dieses nicht als eine bloße Erfordernis, eher aber als eine Gelegenheit sehen, ihre Geschäftsprozesse zu verbessern.
„Wirksame Informationsflüsse im Unternehmen, sowie die Modifikation und Dokumentation interner Prozesse gehören zum Grundgeschäft um den Anforderungen aus Basel II und Sarbanes-Oxley gerecht zu werden. Darüber hinaus müssen vielseitige IT-Risiko-Faktoren nachhaltig gemanaged werden. Das stellt nicht das Beheben organisatorischer Mängel oder den stringenten Aufbau konkreter Verantwortlichkeiten in Bezug auf die Sicherstellung technischer Leistungen in denVordergrund, sondern auch im Besonderen die Risiken in den Betriebsverfahren.“ erklärte Ragnar Nilsson in einer aktuellen Debatte zum Thema. Am 1. Juli werden die Sarbanes-Oxley-Bestimmungen wirksam und die 8. EU-Direktive steht vor derUmsetzung. Vielfach hat man sich im IT-Management bisher nicht oder nur unzureichend mit dem Thema auseinandergesetzt. In dieser Thematik kann sich der CIO als Business-Manager profilieren und er sollte diese Aufgabe als Gelegenheit nutzen.
Wolfgang Franklin,
Vorsitzender des Vorstandes,
cioforum e.V.