Das Wort Compliance klingt für Außenstehende häufig wie ein Buzzword aus dem Manager-Jargon. Im ersten Moment „cool“, letztendlich aber wenig Bedeutung als Grundlage. Sobald man jedoch mit der Thematik der Compliance vertraut ist, wird schnell klar – die Komplexität, welche sich hinter dem Thema verbirgt, ist nicht zu unterschätzen.

War der Begriff vielen bereits davor bekannt, so hat er nicht zuletzt mit in Kraft treten der DSGVO auch den Weg in das Postfach des letzten IT-Managers gefunden. Heute ist er allumgreifend und es gibt kaum noch IT-Projekte, welche ohne eine umfassende Compliance-Komponente auskommen.

Doch mit was befasst sich die Compliance? Mit der Einhaltung der Richtlinien und Vorgaben von verschiedenen betriebsinternen und -externen Instanzen. Und wozu das Ganze? Um Strafen durch Nichteinhaltung zu entgehen und das Unternehmensimage sowie das Vertrauen der Kunden nicht zu schädigen. Durchaus berechtigte Motive, um sich mit dem Thema einmal genauer auseinanderzusetzen.

Eine Frage, deren Antwort von Betrieb zu Betrieb und von Projekt zu Projekt unterschiedlich ausfällt. Sind es in den großen Unternehmen eigens dafür beauftragte Personen oder Abteilungen, liegt es bei Unternehmen aus dem KMU-Umfeld häufig in der Hand des IT-Leiters selbst, dafür zu sorgen, dass Projekte und deren Ergebnisse den Compliance-Vorgaben entsprechen.

In größeren Unternehmen ist die C-Level Vakanz des Chief Compliance Officers (CCO) nun immer häufiger zu finden. Dieser befasst sich mit der bereichsübergreifenden Einhaltung der Vorgaben – egal ob in IT- oder Finance-Projekten. Doch auch eigene Compliance-Abteilungen, welche sich mit den Vorgaben der verschiedenen Bereiche beschäftigen, haben ihren Weg in die Organisationsstrukturen gefunden.

Ganz egal jedoch, ob der IT-Leiter, CCO oder eine Compliance-Abteilung für die allgemeine Einhaltung der Compliance-Vorgaben verantwortlich ist – letztendlich müssen diese in den technischen Projekten eingehalten werden, um Konformität zu gewährleisten.

Um diese Herausforderung zu meistern, bedarf es einem Verständnis für die notwendigen Schritte und eine methodische Vorgehensweise.

Grundsätzlich sind die wichtigsten Fragen bei diesem Thema immer das „Wer?“ und das „Was?“. Wer stellt Anforderungen, die eingehalten werden müssen und was sind die Anforderungen, welche von den verschiedenen Bereichen gestellt werden.

Sind diese Fragen geklärt, ergeben sich Leitplanken für das zugrundeliegende Projekt. Diese Leitplanken dienen als Entscheidungsgrundlage bei verschiedenen Fragen zur organisatorischen Gestaltung oder der technischen Konfiguration und helfen schlussendlich dabei, die Compliance im Projekt zu gewährleisten.

Aus dem Abgleich der Compliance-Anforderungen mit den Projekt-Anforderungen lässt sich ein Plan für die Projektumsetzung bilden, welcher sowohl maximalen technischen als auch organisatorischen nutzen bei maximaler Konformität gewährleistet. Eines der Hauptziele eines jeden IT-Projektes heutzutage und Rechtfertigung für die dafür anfallenden Aufwände.

Wurde ein Projekt entsprechend der erläuterten Vorgehensweise durchgeführt, so mag die Compliance für den ersten Moment gewährleistet sein, je nach Projekt können sich hier jedoch durch Änderungen immer wieder neue Compliance-Anforderungen ergeben oder Neubewertungen von Anforderungen notwendig werden. Beinhaltet der entsprechende Prozess des Change-Managements keine erneute Betrachtung der Compliance nach dem Change, kann es schnell dazu kommen, dass Lösungen trotz Compliance bei der Implementierung diesen Status über den Lebenszyklus verlieren.

Um diesem Problem entgegenzuwirken, ist es sinnvoll in regelmäßigen Abständen Compliance-Audits durchzuführen. Darin werden die aktuell implementierten Lösungen nach ihrer Compliance neu bewertet und eventuell vorgenommene Änderungen und deren Auswirkungen sichtbar. 
 

Der von audius Experten entwickelte Microsoft 365 Compliance-Check nutzt die zuvor beschriebene Vorgehensweise als Grundlage, um detaillierte Compliance-Anforderungen an die zugrundeliegenden Dienste und Anwendungen zu erarbeiten.

Hierbei werden neben externen Vorgaben wie der DSGVO auch interne Instanzen wie die Datenschutzbeauftragten oder der Betriebsrat für die Erarbeitung der Anforderungen zu Rate gezogen. Insgesamt ergeben sich im Rahmen des Checks etliche Fragen und zugehörige Antworten, welche ohne diesen unbeachtet geblieben wären.

Im Ergebnis resultiert der Check in einer Status Quo Analyse über den aktuell vorhandenen Grad an Compliance in Bezug auf Microsoft 365 und eine damit verbundene Risikobewertung möglicher negativer Auswirkungen. Ein hierauf aufbauender Maßnahmenplan für die Verbesserung der Compliance rundet das Gesamtpaket ab.

Zu einer tiefgründigen Bewertung der Compliance von IT-Projekten gehören verschiedenste Faktoren, welche sich aufgrund Ihrer Vielzahl, leider nicht im Rahmen dieses Beitrags abdecken lassen. Doch auch wenn, oder gerade, weil das Thema sehr komplex ist, können wir uns bei einem sicher sein – mit einer durchdachten Vorgehensweise und der nötigen Kompetenz - kann jedes Projekt hinsichtlich der Compliance ein voller Erfolg sein.

Wir, die audius, sind seit über 30 Jahren in der IT-Branche tätig und bieten neben Softwarelösungen auch Dienstleistungen im Bereich von Cloud-Technologien und IT-Security an.

Wir zeigen Ihnen gerne die Möglichkeiten auf, die sich für Ihr Unternehmen ergeben können. Sprechen Sie uns an, wir freuen uns auf Sie!

Weitere Informationen zu unserem Portfolio finden Sie hier