Compliance braucht keine Magie, sondern nur die richtigen Methoden und Tools. Die Realität sieht in vielen Unternehmen jedoch anders aus: Die ausufernde Komplexität der Regelwerke erweist sich in der Praxis als eines der Haupthindernisse für nachweisbare Compliance mit internen und externen Vorschriften. Das ist umso prekärer, als in vielen Branchen der Audit- und Zertifizierungsdruck wächst.
Eine Lockerung der Regulierungsschraube ist nirgendwo in Sicht - sie wird in Zukunft eher noch fester angezogen. So steht die Finanzwirtschaft spätestens seit der Bankenkrise unter verschärfter Kontrolle.
In Deutschland steigt die Zahl der Audits, in denen Kreditinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nachweisen müssen, dass sie die "Mindestanforderungen an das Risikomanagement" (MaRisk) erfüllen.
So ein Audit ist alles andere als ein Routinetermin, denn es steht viel auf dem Spiel: Bei MaRisk-Verstößen drohen mitunter harte Sanktionen - nicht nur Verwarnungen und Geldbußen, sondern schlimmstenfalls auch der Lizenzentzug.
Foto: Computacenter
Regulationsdruck: Keine Entspannung in Sicht
Untätig waren die meisten Unternehmen beim Thema Compliance auch in der Vergangenheit nicht. Im Gegenteil: In großen Banken ist mitunter ein ganzer Compliance-Stab mit der Übersetzung nationaler und internationaler Vorgaben in unternehmensinterne Richtlinien befasst. Bei einer deutschen Großbank umfasst das daraus entstandene Regelwerk beispielsweise fast 700 Einträge, die überdies an weltweit rund 70 Standorten zur Anwendung kommen sollen.
Ähnlich gigantische Dimensionen weist bei einem namhaften Automobilhersteller allein das Regel-Kompendium für IT-Sicherheit auf - nämlich knapp 1.300 Einträge. IT-Systeme gelten in der Automobilindustrie zunehmend als kritischer Compliance-Faktor. Denn einerseits funktioniert die Lieferkette mittlerweile so integriert, dass die Systeme von Auftraggebern und Zulieferern vielerorts automatisch miteinander interagieren. Auf der anderen Seite dringt die Digitalisierung mit rasantem Tempo immer weiter in produktionsnahe Bereiche vor.
Die Folge: Fallen Server im Rechenzentrum aus, steht möglicherweise eine komplette Fertigungslinie still. Kein Wunder also, dass sich Zertifizierungen in dieser Branche verstärkt auch auf die IT-Landschaft beziehen. Schließlich müssen Abnehmer die Verfügbarkeit und Compliance auch in ihrer verlängerten Werkbank sicherstellen.
Heute findet man in fast allen großen Unternehmen eine zentrale Anlaufstelle für alle IT-bezogenen Compliance-Fragen: den Compliance Manager beziehungsweise Chief Information Security Officer oder auch ein ganzes Compliance-Team. Ihre Aufgabe besteht vorrangig darin, externe Anforderungen zu sichten und relevante Regularien in interne Unternehmensrichtlinien umzuformulieren.
Für eine Großbank sind hierbei nicht nur die hiesigen MaRisk relevant, sondern auch ähnliche nationale Vorschriften all jener Länder, in denen sie Niederlassungen unterhält. In Fernost wären das etwa die Technology Risk Management Guidelines (TMRG) der Monetary Authority of Singapore.
Schwammige Definitionen
Vergleichsweise unproblematisch sind solche Vorgaben, die für einen klar umrissenen Prozessbereich den geforderten Sicherheitsstandard präzise definieren und zugleich vorschreiben, welche Schutzvorkehrungen dafür an welcher Stelle zu implementieren sind.
Das trifft zum Beispiel auf den Payment Card Industry Data Security Standard PCI-DSS zu, der für die Systemsicherheit bei der Abwicklung von Kreditkartentransaktionen eine Rolle spielt. Derart eindeutig gefasste Vorgaben sind jedoch eher die Ausnahme - der Großteil aller Regularien ist stattdessen in hohem Grade interpretationsbedürftig.
In Anlage 1 der 2012 novellierten MaRisk-Fassung ist beispielsweise folgender Satz zu lesen: "Zumindest bei IT-Berechtigungen und Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten wird eine mindestens jährliche, bei kritischen IT-Berechtigungen eine mindestens halbjährliche Überprüfung erwartet."
Was dabei als kritisch versus unkritisch einzustufen ist - das bleibt der Interpretation der Compliance-Verantwortlichen in Banken vorbehalten. Sie müssen selbst entscheiden, ob sie die Zugriffsrechte von Administratoren kritischer oder weniger kritisch als etwa die Applikationsberechtigungen in Fachabteilungen einstufen. Danach können sie nur noch hoffen, dass beim nächsten Stresstest der BaFin-Auditor ihre Sichtweise teilt.
Kritische Situationen beim Audit
Geprüft wird im Übrigen nicht in der Compliance-Abteilung, sondern stets auf operativer Ebene. Dabei fragen Auditoren auch nicht nach internen Unternehmensrichtlinien, sondern interessieren sich ausschließlich für die nachweisliche Umsetzung der zugrunde liegenden externen Anforderungen. Nur weiß in der IT-Abteilung meist niemand, ob diese oder jene Berechtigungsrichtlinie ihren Ursprung in MaRisk, TRMG oder irgendeiner anderen externen Vorschrift hat.
Umso schwieriger wird es, während des Audits einen konkreten Konformitätsnachweis zu führen. Erschwert wird diese Problematik noch dadurch, dass der Dialog zwischen Compliance- und IT-Verantwortlichen in den meisten Unternehmen noch zu wünschen übrig lässt.
Das wiederum hängt mit einer verfehlten Aufgabenverteilung zusammen: Die Interpretation der Regularien und ihre praktische Umsetzung im Alltag fallen in strikt getrennte Zuständigkeitsbereiche. Das Compliance-Team strebt naturgemäß nach Vollständigkeit und nimmt dabei oft sorglos Redundanzen in Kauf, da die praktische Umsetzung ja anderen obliegt. Das erklärt auch die aufgeblähten Ausmaße vieler Unternehmensregelwerke.
Abhilfe kann hier nur ein pragmatischer Ansatz schaffen, der die Vielzahl von Richtlinien und Regularien direkt mit den davon betroffenen Unternehmensprozessen verzahnt. Das wiederum klingt nach jahrelanger Sisyphusarbeit - muss aber nicht sein.
Auf kürzestem Weg zur Compliance
In der Beschreibung des Problems steckt bereits der Kern der Lösung: Wer schlaflose Nächte vor künftigen Audits vermeiden will, muss in der Lage sein, Compliance-relevante Vorgaben direkt auf all diejenigen Unternehmensprozesse zu beziehen, die von der jeweiligen Vorgabe betroffen sind.
Um dieses Ziel auf kürzestem Wege zu erreichen, hat Computacenter eine umfassende Methodik erarbeitet, deren Ausgangspunkt ein sogenanntes Control Backbone ist. Man kann sich dieses Rückgrat als einen Strahl vorstellen, an dem alle relevanten IT-Security-Themen gleichsam angeheftet sind - zum Beispiel Netzwerksicherheit oder Authentisierung. Eine gute Themengliederung liefert in diesem Kontext ISO 27001, Annex A.
Im nächsten Schritt werden alle einschlägigen Regularien auf IT-Security-Themen durchgesehen: Dabei wird jede relevante Einzelanforderung im Control Backbone dem entsprechenden Themenbereich zugeordnet. Bei der obigen Beispielbank betrifft das also unter anderem die deutschen MaRisk und die singapurischen TRMG. Da Computacenter derartige Zuordnungen in etlichen Kundenprojekten bereits für viele Regularien vorgenommen und einer Datenbank hinterlegt hat, ist dieser Arbeitsschritt meist schon zu Projektbeginn so gut wie erledigt.
Anschließend kommen die unternehmenseigenen Richtlinien an der Reihe: Sie werden auf die gleiche Weise durchforstet und im Control Backbone thematisch zugeordnet. An dieser Stelle treten meist jene Redundanzen zutage, die für den unbeherrschbaren Umfang mancher Regelwerke verantwortlich waren. Im letzten Schritt schließlich gilt es zu erfassen, ob und wie die technischen und organisatorischen Richtlinien von den Abteilungen im Alltag tatsächlich umgesetzt werden.
Zur Prüfung technischer Regeln setzt Computacenter einen datenbankbasierten Scanner ein. Damit lässt sich für die gesamte IT-Landschaft automatisch die Einhaltung bestimmter Policies untersuchen - etwa, ob in der Konfiguration aller UNIX- und Windows-Server ein achtstelliges Passwort erzwungen wird oder ob Gast-Accounts deaktiviert sind. Zur Verifikation organisatorischer Richtlinien haben sich demgegenüber standardisierte Fragebögen bewährt.
Compliant werden und bleiben - und die Kosten im Griff
Mit diesen Ergebnissen aus der gelebten Unternehmenspraxis entwickelt sich aus dem Control Backbone ein echtes Compliance Framework: Für jede einzelne Unternehmensrichtlinie ist mit einem Blick ersichtlich, ob sie eingehalten wird - oder eben nicht.
Da das Framework dabei auch Auskunft über die zugehörigen Vorgaben aus externen Regularien gibt, kann der Auditor nun jederzeit kommen. Der Nachweis, dass regulatorische Anforderungen erfüllt werden, kostet nur noch wenige Mausklicks.
Ein großer Vorzug dieser methodischen Vorgehensweise ergibt sich aus ihrem nachhaltigen Charakter: Der Aufbau des Control Backbones und seine schrittweise Erweiterung zu einem umfassenden Framework dient nämlich nicht nur als einmalige Audit-Vorbereitung, sondern legt zugleich den Grundstein für ein langfristig tragfähiges Compliance Management.
Auf Heerscharen an Beratern, die jährlich ins Unternehmen einmarschieren, um es fit für den nächsten Audit zu machen, lässt sich so getrost verzichten. Denn dank der pragmatischen Methode ist nicht nur in wenigen Wochen ein hieb- und stichfestes Compliance-Management umgesetzt, sondern auch an künftige Anforderungen gedacht: Nach Abschluss des Projekts ist das Unternehmen selbstständig in der Lage, neue Regeln einzuarbeiten, mögliche Regelverstöße zu erkennen und diese umgehend zu beseitigen. Auch diese Aufgabe lässt sich über die zugrunde liegende Datenbank mit integrierten Reports und vorgefertigten Templates weitgehend automatisieren.
Klar ist, dass Compliance kein Zustand, sondern ein fortwährender Prozess ist. Das Compliance Framework hat sich dazu als ein effektives und Werkzeug bewährt. (rb)