Erhöhte Compliance-Ausgaben ein Problem

Compliance-Kosten steigen: Einhaltung von Compliance-Vorgaben noch immer eine große Herausforderung
Neue Compliance-Verpflichtungen sowie sich ändernde Compliance-Auslegungen treiben Zeitaufwand und Kosten in die Höhe

(06.11.08) - CA stellte die Ergebnisse einer unabhängigen weltweiten Studie zu den Kosten von Compliance-Maßnahmen vor. Laut Studie von GMG Insights haben sich bei rund 45 Prozent der befragten Unternehmen Zeitaufwand und Kosten für die Einhaltung von Compliance-Vorgaben erhöht. Die Studie untersucht dreizehn, in zahlreichen Ländern verbreitete Richtlinien und Branchenstandards.

Die von CA gesponserte Studie hat 575 IT-Leiter von großen und mittelständischen Unternehmen mit Hauptsitz in Nordamerika, Europa, in der Asien-Pazifik-Region und in Zentral- und Südamerika befragt.

Die Studie zeigt auf, dass ein zentraler Faktor für die steigenden Compliance-Kosten in der Natur der sich ständig ändernden Richtlinien liegt:

>> In Nordamerika berichten 41 Prozent der Unternehmen, dass die Einführung von neuen Regularien der Grund für die Zunahme der Compliance-Ausgaben war. In der Region Asien-Pazifik machten 55 Prozent der Befragten dieselbe Erfahrung. Dort trat beispielsweise im April 2008 die J-SOX in Kraft, eine Sicherheits-Gesetzesinitiative der japanischen Regierung, die sich auf in Japan börsennotierte Unternehmen bezieht. In Europa und Zentral-/Südamerika sind es 40 Prozent beziehungsweise 29 Prozent der Unternehmen, die über erhöhte Compliance-Ausgaben klagen.

>> Als weitere Ursache für gestiegene Compliance-Anforderungen nannten die Befragten die Änderung von Richtlinien. (49 Prozent aus Nordamerika und Zentral- und Südamerika, 39 Prozent aus dem Asien-Pazifik-Raum, 34 Prozent aus Europa.)
Die Studie belegt zudem, dass die Mehrzahl der Befragten versucht, auf manuellem Wege die Einhaltung von Compliance-Vorgaben zu erreichen. Klar ist jedoch, dass das Fehlen einer zentralen Kontrolle „die Garantie für schwindelerregende Ausgaben“ – in einer zunehmend regulierten Umgebung – ist.

>> Mehr als zwei Drittel der befragten Unternehmen gaben an, dass sie Informationen über den Status ihrer IT-Compliance-Kontrollen in verschiedenen Kalkulationstabellen und oft in unterschiedlichen Unternehmensbereichen vorhalten.

>> Mehr als 75 Prozent der Befragten sagten, dass Durchführung, Test, Monitoring und Reporting ihrer IT-Compliance-Kontrollen im besten Fall aus einer Kombination automatisierter und manueller Prozesse bestehen.

"Die Studie bestätigt die Erfahrung unserer Kunden, dass die Einhaltung von Compliance-Vorgaben noch immer eine große Herausforderung darstellt – sowohl bei den Kosten als auch in ihrer Wirkung auf die Geschäftsprozesse. Mit jeder Richtlinienveränderung oder -Ergänzung nimmt dieses Problem zu", betont Thomas Leitner, Geschäftsführer CA Deutschland. "Die Automatisierung von Compliance-Prozessen und die Zentralisierung der Kontrollen sind eine grundlegende Voraussetzung dafür, dass Unternehmen ihre Compliance-Prozesse effizient gestalten können."

Die Studie belegt, dass von den dreizehn untersuchten Standards und Richtlinien der Sarbanes-Oxley Act von 2002 (SOX) die größten Auswirkungen auf die Kosten, die IT und das Gesamtgeschäft hat. Im Bezug auf die Kosten folgt die australische Richtlinien CLERP-9 zur unternehmensweiten Rechenschaftspflicht dem SOX. Beim Einfluss auf die IT eines Unternehmens kommt gleich nach dem Sarbanes-Oxley Act die Richtlinie Basel II – dem weltweiten Standard, der die Kapitalausstattung von internationalen Banken reguliert.

Die Regulative, die nach SOX den größten Einfluss auf das Gesamtgeschäft eines Unternehmens haben, sind die australischen Richtlinien: CLERP-9; AS4360, Australiens Norm für das Risiko-Management; und ACSI33, die australische Richtlinie für die Verarbeitung, Speicherung und Weitergabe von Regierungsinformationen.

13 Richtlinien
1. Sarbanes-Oxley Act von 2002 (SOX) – U.S.-Richtlinie zur Verbesserung der Unternehmensberichterstattung für die Bilanzierung.
2. HIPAA – U.S.-Richtlinie zum Schutz von Informationen aus dem Gesundheitsbereich.
3. Basel II – weltweiter Standard, der die angemessene Kapitalausstattung von internationalen Banken reguliert.
4. Gramm-Leach-Bliley – U.S.-Richtlinie zum Schutz von personenbezogenen Finanzinformationen.
5. J-SOX – japanische Standards mit Zielen, die denen der SOX-Standards ähneln.
6. PCI (Payment Card Industry Standard) – ein Set von regulativen Anforderungen zur Sicherheit von Kartenzahlungen.
7. Bill 198 – Kanadisches Gesetz mit Zielen, die denen der SOX-Standards ähneln.
8. CLERP-9 – einer australischen Richtlinie für unternehmensweite Rechenschaftspflicht.
9. King Report – eine Corporate Governance-Initiative aus Südafrika.
10. AS4360 und ACSI33 – australische Normen für das Risiko-Management und einem sicheren Umgang mit Regierungsinformationen.
11. Policy 52-109 – Kanadische Zertifizierung für die Offenlegung von Zwischen- und Jahresabschlussberichten
12. LSF (Loi de Securite Financiere) – Französisches Gesetz mit Zielen, die denen der SOX-Standards ähneln.
13. L262/2005 – Italienische Richtlinie mit Zielen, die denen der SOX-Standards ähneln.
(CA: ra)