Governance, Compliance, Risk

Bevor man sich der "Compliance Automation" zuwendet, muss man das Thema in den unternehmerischen Rahmen einordnen. Compliance ist in Europa als ein wichtiger Investitionstreiberin der Diskussion , auch wenn der strafrechtliche Druck sicher nicht mit den USA vergleichbar ist. Wenn man aber genau betrachtet, was die Investitionen treibt, dann ist es nicht nur Compliance, sondern eigentlich die Governance als übergeordnetes Thema mit ihren Facetten wie der Compliance (Einhaltung regulatorischer und rechtlicher Vorgaben) und dem Risiko-Management. Dazu gehört aber auch eine generell gewünschte Transparenz, um beispielsweise (der strafrechtlich sehr wohl relevanten) Korruption vorzubeugen oder schlicht die erforderliche Kontrolle über unternehmerische Risiken zu haben. Schon daran wird klar, dass es um mehr als "Compliance Automation" geht und einiges an Vorarbeit erforderlich ist.

Die Anstrengungen im Bereich von Governance, Risk Management und Compliance für den Aufbau definierter Prozesse und eines systemgestützten Managements dieser Anforderungen kosten Geld. Sie bringen aber auch wichtige Vorteile. Dazu zählen neben den oben genannten Punkten die (zwangsläufig) generierten Informationen zur Prozessoptimierung im Sinne der Effizienz, aber auch der Prozessqualität.

Die Herausforderungen der Governance und ihrer Subthemen wie Risk Management und Compliance lassen sich nicht ohne Automatisierung erreichen. In stark regulierten Branchen wie bei Banken und im Pharma-Bereich ist systemgestütztes Compliance Management heute schon der Normalfall. In den meisten anderen Unternehmen findet man heute aber nur Stückwerk, also verschiedene Tools, die bei der Automatisierung helfen. Dazu zählen neben Auditing-Lösungen, dem automatisierten Konfigurationsmanagement oder rollenbasiertem Berechtigungsmanagement beispielsweise auch Dokumentenmanagement-Systeme.

Nun könnte man mit Blick auf diese Tools durchaus von "Governance Automation" sprechen. Nur: Eine bloße Ansammlung von Werkzeugen ohne enge Integration löst die Herausforderungen nicht, weil man eben keine übergreifende Transparenz erhält. Mit Blick auf das Thema der Compliance habe ich schon vor längerer Zeit einmal zehn Anforderungen formuliert.

Diese Anforderungen machen deutlich, dass es um mehr geht als darum, einzelne Tools für spezielle Herausforderungen zu haben. Es geht um standardisierte, systemübergreifende Ansätze. Dabei müssen einerseits Business-Anforderungen wie beispielsweise spezifische Compliance-Regelungen in standardisierter Weise in IT-Anforderungen umgesetzt werden können. Andererseits müssen relevante Informationen wie Audit-Daten und Ereignisse aus unterschiedlichen Systemen aggregiert und verarbeitet werden. Dazu gehören Warnungen bei Abweichungen ebenso wie Dashboards für das Top-Management, die einen Statusüberblick liefern.

Die Herausforderungen bei dieser "Governance Automation" liegen as meiner Sicht in vier Bereichen:

• Es fehlen (meist) Prozesse zwischen Geschäftsleitung/Vorstand, Revision, Recht, Controlling, Finanzen und anderen Businessbereichen auf der einen Seite und der IT auf der anderen.
• Es fehlen Standards für die Beschreibung der Business-Anforderungen und ihre Umsetzung in IT-Anforderungen.
• Es fehlen Standards für Richtlinien, um darüber verschiedene bestehende IT-Systeme steuern zu können.
• Es fehlen Standards für das Auditing, um die Informationen aus unterschiedlichen Systemen zu verarbeiten und zu aggregieren.

"Governance Automation" sind damit die Prozesse, Standards und (integrierenden) IT-Systeme, die einen durchgängigen, konsistenten Ansatz für die Umsetzung von Governance-Anforderungen über verschiedene IT-Systeme und die Auswertung der Ergebnisse unterstützen. Bei "Governance Automation" geht es darum, aus dem bestehenden Stückwerk von Einzellösungen ein durchgängiges Konzept zu entwickeln, das eine systemübergreifende Steuerung und Analyse der Governance mit allen ihren Teilbereichen ermöglicht.

Created: 12.06.07, modified: 12.06.07