Warenkorb

Es befinden sich keine Positionen in Ihrem Warenkorb

Projektbericht

Governance, Risk, Compliance

Etablierung eines virtuellen IT-Compliance Teams

Ausgangssituation

Bei einem großen deutschen IT-Dienstleister wurde vom Bereichsleiter Infrastrukturbetrieb festgestellt, dass die stark gestiegenen regulatorischen Anforderungen seine Mitarbeiter zunehmend im Tagesgeschäft beeinträchtigten. Aufgrund der großen Anzahl an IT-Audits und der damit einhergehenden Anfragen an die Mitarbeiter, mussten diese immer mehr Zeit für Arbeiten mit Compliance-Bezug aufbringen. Aus dieser Situation heraus entstand der Wunsch nach einer Entlastung für die Mitarbeiter durch ein eigenes IT-Compliance-Team.

Zielsetzung

Es sollte kurzfristig ein virtuelles IT-Compliance-Team etabliert werden, das sowohl die Vorbereitung und Koordination von Audits übernimmt als auch die Nachverfolgung der rechtzeitigen Erledigung von Audit-Feststellungen. Somit sollten die einzelnen Mitarbeiter entlastet, die Organisation verbessert und die Zusammenarbeit mit den Prüfern optimiert werden. Ein weiteres Ziel war es, die Anzahl an neuen Audit-Feststellungen durch die verbesserte Kommunikation mit den Prüfern zu verringern. Das neue Compliance-Team sollte helfen, die Anforderungen der Prüfer besser zu verstehen, sowie mit diesen die benötigten Evidenzen festzulegen und die Erfüllung der Anforderungen zu koordinieren.

Lösungsansatz

Die best-practice innovations GmbH wurde beauftragt das virtuelle IT-Compliance-Team aufzubauen. Das Team bestand zu Beginn aus vier internen Mitarbeitern verschiedener Abteilungen des Infrastrukturbetriebs. Hinzu kamen ein Junior Consultant und ein Partner der best-practice innovations GmbH mit Verantwortung für die fachliche Leitung und die Erreichung der gesteckten Ziele. Die internen Mitarbeiter arbeiteten dabei weiterhin in Teilen in ihrer jeweiligen Linientätigkeit und wurden parallel dazu weiterqualifiziert und in die neuen IT-Compliance Themen eingewiesen. So konnte im Infrastrukturbetrieb innerhalb eines halben Jahres eine schlagkräftige Einheit geschaffen werden.
Im weiteren Verlauf wurde die Zuständigkeit des virtuellen IT-Compliance-Teams auf den gesamten IT-Betrieb ausgeweitet. Auch der Aufgabenumfang des Teams wurde erweitert. Das IT-Compliance-Team ist heute der Single Point of Contact in allen IT-Compliance-Angelegenheiten des IT-Betriebs und übernimmt die Kommunikation mit den Prüfern der internen und externen Revision, sowie die Organisation der Prüfungen. Audits werden nun anhand eines definierten Prozesses bearbeitet und die betroffenen Mitarbeiter werden bei der Erstellung und Aufbereitung der Evidenz-Anforderungen angeleitet und unterstützt. Das IT-Compliance-Team ist außerdem für die Unterstützung und Nachverfolgung von regelmäßigen Kontrollaktivitäten (z.B. Rezertifizierungen von Usern und Berechtigungen) zuständig. Zudem unterstützt es bei der Behebung von Audit-Feststellungen und achtet auf deren fristgerechte Bearbeitung. Zusätzlich sollen Schwachstellen bereits vor den Audits identifiziert werden, um Behebungspläne zu entwickeln und somit Audit-Feststellungen proaktiv zu vermeiden. Zunehmend übernimmt das Team auch Aufgaben im Bereich des Risikomanagements.

Das IT-Compliance-Team hat im Zuge einer Awareness-Kampagne im IT-Betrieb zweistündige Schulungen durchgeführt, um Hintergrund, Ziele und Wirkung der IT-Compliance zu erläutern, die eigenen Leistungen vorzustellen und die Unterstützung der Mitarbeiter zu gewinnen. Die vollständige Etablierung des IT-Compliance-Teams im IT-Betrieb erstreckte sich über einen Zeitraum von etwa zwei Jahren. In dieser Zeit entstanden im Zuge der Bearbeitung von bestehenden Feststellungen auch weitere Compliance- Projekte, mit Unterstützung von best-practice innovations. Mittlerweile konnte die Leitung des Teams erfolgreich an einen internen Mitarbeiter übergeben werden.

Dr. Stefan Zickenheiner

Dr. Stefan Zickenheiner
Managing Director b-pi
stefan.zickenheiner@b-pi.com
+49 221 964 34 63-2