„Compliance“ in Unternehmen und anderen Organisationen hat in der jüngsten Vergangenheit einen hohen Stellenwert bekommen. Es ist mehr als nur ein Modebegriff. Compliance ist aus dem täglichen Gedankengut von Führungskräften kaum noch wegzudenken. Aus diesem Grund verwundert es wenig, dass das Thema von Dienstleistern und Anbietern von Tools aller Art als Verkaufsargument genutzt wird. Alles und jedes lässt sich ja mit mehr oder weniger großem Argumentationsaufwand in einen Zusammenhang zu „Compliance“ bringen.
Aber sind auch alle diese Angebote tatsächlich besondere Hilfsmittel zur Wahrung oder Sicherstellung von „Compliance“, also der Einhaltung von Regeln?
Wir möchten nachfolgend einige Werkzeuge vorstellen, von denen wir glauben, dass sie einen Beitrag zur „Compliance“ leisten können. Diese Übersicht ist nicht vollständig und kann es auch nie sein. Wir freuen uns aber über gezielte Hinweise, welche Produkte oder Kategorien wir hier noch aufnehmen sollten, um unseren Lesern eine nützliche Übersicht und einen Einstieg ins Thema zu bieten.
Server und Applikationen laufend überwachen und den Zustand dokumentieren
Die Firma UPW aus Bensheim hat mit dem UPW Compliance Guard eine Anwendung geschaffen, die Organisationen mit mehreren Funktionalitäten bei der Einhaltung von Anforderungen und Vorschriften unterstützt.
Zum einen ist es möglich, IT Komponenten (Server, Netzwerkinfrastruktur, Applikationen, Betriebssysteme) laufend oder periodisch und automatisiert auf die Einhaltung bestimmter Kriterien zu prüfen. Diese Kriterien sind in Regelsätzen hinterlegt und können mit Risiken versehen werden, um eine gezielte Auswertbarkeit zu ermöglichen. Das System prüft die Systeme beispielsweise daraufhin, ob der jeweils aktuelle Patch-Stand eingespielt ist, ob definierte Sicherheitsparameter eingehalten werden oder voreingestellte Services aktiviert bzw. deaktiviert wurden.
Bestimmte Regelsätze können vom Hersteller bereitgestellt werden. Der Kunde kann aber auch eigene Regelsätze erstellen.
Die Ergebnisse dieser Prüfung lassen sich speichern und nach verschiedenen Kriterien auswerten. Abweichungen vom Soll-Zustand können direkt erkannt und korrigiert werden. Eine laufende Dokumentation stellt sicher, dass diese Aktivitäten auch Nachvollziehbar sind.
Für Fragestellungen, die nicht automatisiert bearbeitet werden können, ist es möglich, Fragebögen zu erstellen, die von den betreffenden Personen zu beantworten sind. Die Antworten können ausgewertet werden und ermöglichen zusammen mit den technischen Ergebnissen eine Gesamtaussage zur Compliance.
Die Produktseite finden Sie unter: http://www.upw-compliance.de
Dokumentation des internen Kontrollsystems (IKS)
Für die Dokumentation des internen Kontrollsystems gibt es eine Reihe von Lösungen. Diese sind vielfach im Bereich von Governance, Risk and Compliance (GRC) angesiedelt und umfassen mehrere Teilbereiche dieses komplexen Themas. Sie verbinden Risikomanagement mit dem internen Kontrollsystem und schließen im Bereich der Prüfung des IKS und der Revision an. Die Verfolgung von Schwachstellen und deren Behebung gehört vielfach auch zum Funktionsumfang dieser Lösungen. Zusätzlich kann bei einigen Angeboten eine Verbindung zum ERP-System hergestellt werden.
Der Vorteil dieser Lösungen besteht in der einheitlichen und integrierten Abdeckung der genannten Bereiche, die grundsätzlich miteinander verbunden sind und zumindest theoretisch von einem Werkzeug unterstützt werden können.
Der Nachteil des integrierten Ansatzes ist häufig ein erheblicher, da bereichsübergreifender Implementierungsaufwand. Insofern sind fokussierte, spezialisierte Lösungen zu bestimmten Fragestellungen eine tatsächlich ernstzunehmende Alternative.
Ein Beispiel für eine kleine, pragmatische Lösung, die durch bereits definierte Datenstrukturen eine Dokumentation des internen Kontrollsystems ausschließlich mit Hilfe des Web-Browsers ermöglicht, ist „compliance-app“. Die Lösung ist preisgünstig und vollständig Web-basiert, sodass auch eine Nutzung im Rahmen von SaaS (Software as a Service) möglich ist.
Eine weitere Alternative ist der „DocSetMinder“, ein Dokumentationswerkzeug für unterschiedliche Anforderungen. Es ermöglicht flexible Verbindungen von Datenelementen und bietet eine optisch ansprechende Aufbereitung.
Produktinformationen unter: http://www.grc-partner.de/grc
Tools zur Compliance im SAP-System
Das SAP-System ist aufgrund seiner Komplexität und der zentralen Bedeutung für viele Unternehmen aus sich heraus ein Werkzeug zur Unterstützung von Compliance-Strategien.
Als Basis für das interne Kontrollsystem, das Berichtswesen und die operative Unternehmenssteuerung muss ein Unternehmen den kontrollierten Betrieb sicherstellen, um grundlegende gesetzliche und häufig auch interne Anforderungen erfüllen zu können.
Eine kurze Übersicht an Produkten finden Sie hier:
http://www.sap.com/germany/solutions/sapbusinessobjects/large/governance-risk-compliance/index.epx
https://www.sast-solutions.de/
Dieser Beitrag wird kontinuierlich weiterentwickelt. Wir freuen uns über Ihre Hinweise und Anregungen.