Hier geht es um die Reduktion der Komplexität von Lösungen für das Risikomanagement bzw. Einhaltung der Compliance mit entsprechenden Systemen, die aus unterschiedlichen Quellen mit Informationen versorgt werden. Diese Systeme existieren in verschiedenen Ausprägungen und sind meist auf Risiken in dedizierten Bereichen ausgerichtet, wie zum Beispiel

• Geschäfts- und Finanz-Risiken

• Strategierisiken durch Markt- und Kundenanforderungen

• Standards, Normen und Qualität

• Erfüllung gesetzlicher Anforderungen (Datenschutz etc.)

• Umweltrisiken (z.B. durch Elementarschäden)

Regelwerke bestimmen Art und Umfang der Risikomanagementsysteme (siehe unter Normen und Standards), die vielfach die gleichen Fakten unter verschiedenen Aspekten dokumentieren. Das kann zu Unstimmigkeiten führen. Findet außerdem eine ständige Kontrolle durch Erhebung von Daten und Fakten statt, so können verschiedene Überwachungs-Systeme für identische Faktoren zu unterschiedlichen Zeitpunkten ebenso verschiedene Daten liefern. Über die Systeme hinweg betrachtet, können Compliance-Reports und Audits inkonsistent wirken. Typisch ist z.B. die Fragestellung - wer darf was in welchem System. Aufwendig wird in jedem Fall das Berichtswesen, wenn es in regelmäßigen Abständen wiederholt werden und den jeweils aktuellen Stand repräsentieren muß.

Um eine konsistente Betrachtung aller compliance-relevanten Faktoren für die Menge aller berichtsführenden Risikomanagementsysteme möglichst effizient zu erstellen und vor allem auch aktuell zu halten, wird es sich rechnen, mit einem zentralen Dokumentationssystem als "Compliance Zentrale" alle anderen Systeme versorgen und steuern zu können.

Geeignet sind hierfür alle (mehr oder weniger) frei konfigurierbaren Systeme. Typische Systeme sind das SAP GRC Modul oder das OpenSource Tool verinice. Dieses Tool eignet sich:

• zur Implementierung von BSI IT-Grundschutz

• zum Durchführen einer Risikoanalyse nach ISO 27005

• für den Betrieb eines ISMS nach ISO 27001

• für das Durchführen eines IS-Assessments nach VDA Vorgaben

• für den Nachweis von Compliance mit Standards wie ISO 27002, IDW PS 330 u.v.m

Um Zeit und Aufwand zu sparen, ist es praktisch, wenn bestimmte Inhalte, z.B. das BSI Grundschutzhandbuch, geladen werden können und so eine fertige Struktur beinhalten, die meist durch Wegstreichen an die konkrete Anforderung angepaßt werden kann.

Sollen darüber hinaus "hard controls" in Form von automatisch übermittelten Werten aus dedizierten Systemen übermittelt und den Risikomanagementsystemen zur Verfügung gestellt werden, sind in der Regel individuelle Lösungen erforderlich, die entsprechende Schnittstellen bedienen.

Die Anforderungsanalyse, Auswahl und Strukturierung einer Compliance Zentrale wird angeboten und bis zur Realisierung begleitet.