Menschen, die die Compliance vorantreiben

Die meisten Unternehmen streben nach Vertrauen und Glaubwürdigkeit und arbeiten daran, eine Reihe von Compliance-Anforderungen für internationale Standards zu erfüllen. Die Unternehmen befassen sich heutzutage mit dem Schutz personenbezogener Daten gemäß der DSGVO, der Sicherheit gemäß ISO 27001, der Einhaltung von Umweltnormen gemäß ISO 14001, der Informationssicherheit gemäß BSI IT-Grundschutz usw. In den letzten Jahren waren die Unternehmen mit Zertifizierungsproblemen nach DSGVO und ISO 27001 konfrontiert, die viele Herausforderungen für verschiedene Organisationen unabhängig von ihrer Größe mit sich brachten. Um ihre Arbeitsabläufe zu ordnen, ein umfassendes Sicherheits- und Risikomanagement bereitzustellen und die entsprechende Zertifizierung zu erhalten, sollten sich Unternehmen nach der Anzahl der Anforderungen der Standards richten.

Schlüsselpersonen bei der Compliance

Die Nachfrage nach Experten, die die Zertifizierungs- und Compliance-Prozesse verwalten können, steigt. Je nach der Größe des Unternehmens, seinen Besonderheiten und der Branche können sich die erforderlichen Standards unterscheiden. Das Gleiche gilt auch für die Anzahl der Spezialisten, die mit Compliance arbeiten. Wer steht dahinter, wer dafür sorgt, dass alle Aufgaben und Risiken richtig und zeitnah behandelt werden?

Je nach Besonderheiten der jeweiligen Normen, der Industrie und Größe des Unternehmens kann es folgende Fachleute geben, die mit den Standards arbeiten:

• Compliance-Beauftragte
• IT-Sicherheitsbeauftragte
• Datenschutzbeauftragte
• Risikobeauftragte
• Auditoren (sowohl intern als auch extern)

Es gibt außerdem Qualitätsmanagementbeauftragte, Umweltmanagementbeauftragte und Berater, die sich auch mit der Einhaltung von Richtlinien und Vorschriften in Organisationen befassen.

Wer ist ein Compliance-Beauftragter?

Die Rolle des Compliance-Beauftragten besteht darin, sicherzustellen, dass Unternehmen die regulatorischen Anforderungen der internationalen Standards, internen Unternehmensregeln und -vorschriften sowie die eigenen Richtlinien erfüllen. Heutzutage ist die Nachfrage nach Compliance-Beauftragten sehr groß, weil diese Stellen für die Mehrheit der Unternehmen in einer Vielzahl von Branchen, einschließlich Gesundheitswesen, Telekommunikation, Bankwesen, Automobilindustrie, Softwareentwicklung, Informationssicherheit, usw., verpflichtend geworden sind. Die Rolle des Compliance-Beauftragten besteht darin, zu bestimmen, wie ein Unternehmen geführt und geleitet ist. Sie arbeiten normalerweise mit Datenschutzbeauftragten zusammen und sind dem Chief Compliance Officer, dem C-Level-Manager, dem CEO oder dem COO unterstellt.

Was macht ein Compliance-Beauftragter?

• Entwickelt, implementiert und verwaltet das Compliance-Programm eines Unternehmens.
• Plant, implementiert und überwacht die risikobezogenen Programme.
• Erstellt und koordiniert die Berichte für die Compliance-Herausforderungen.
• Entwickelt die Compliance-Kommunikation eines Unternehmens.
• Koordiniert und plant die erforderlichen Compliance-Schulungen für Mitarbeiter.

IT-Sicherheits- und Compliance-Beauftragter

Die IT-Sicherheitsbeauftragten koordinieren alle Aktivitäten im Informationssicherheitsmanagement in einer Organisation. Zusammen mit der Bewertung potenzieller Risiken und der Erstellung eines Risikopräventionsplans erstellen IT-Sicherheitsbeauftragte regelmäßig Berichte über die Effektivität der Sicherheits- und Compliance-Maßnahmen im Unternehmen. Sie führen auch interne Compliance- und Risikomanagement-Revisionen durch und beraten das C-Level-Management zu allen Maßnahmen oder Änderungen, die für die Sicherheit innerhalb der Organisation ergriffen werden sollten.

Früher wurden in der Norm ISO 27001 keine strengen Anforderungen an ein Unternehmen bezüglich eines Datensicherheitsbeauftragten oder einer andere Person zur Koordinierung der Datensicherheit festgelegt. Es war also der Entscheidung des Top-Managements des Unternehmens überlassen, welche Position am besten zum Unternehmen passt. Im August 2019 enthielt die Erweiterung zur ISO 27701 die Beschreibung des Arbeitsumfangs eines Sicherheitsbeauftragten.

Was ist die Aufgabe des IT-Sicherheits- und Compliance-Beauftragten?

• Kontakt zu der Führung und den Interessengruppen des Unternehmens im Bereich ISMS (basierend auf ISO 27001 oder BSI IT-Grundschutz).
• Koordination des Risikomanagementprozesses und aller Maßnahmen zum Schutz personenbezogener Daten.
• Definition der potenziellen Sicherheitsrisiken und Verbesserungsvorschläge zu Korrektur- und Schutzmaßnahmen.
• Budgetierung und Akquise anderer erforderlichen Ressourcen zum Schutz der Daten.
• Berichterstattung über grundlegende Anforderungen und messbare Ergebnisse.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter arbeitet an der Erstellung und Implementierung der Datenschutzstrategie einer Organisation und gewährleistet somit die Einhaltung der DSGVO-Anforderungen. Die DSGVO verlangt diese Führungsposition im Bereich Unternehmenssicherheit für jede Organisation, die personenbezogene Daten der EU-Bürgerinnen und -Bürger verarbeitet.

Laut der DSGVO spielt die Größe einer Organisation keine Rolle, wenn es darum geht, einen Datenschutzbeauftragten einzustellen. Das bedeutet, dass die Ernennung eines Datenschutzbeauftragten sowohl für kleine Start-ups als auch für große Unternehmen, die mit persönlichen Daten von EU-Bürgerinnen und Bürgern zu tun haben, ein Muss ist.

Datenschutzbeauftragte überwachen die Einhaltung der DSGVO und anderer Datenschutzgesetze und -richtlinien. Sie befassen sich auch mit der Sensibilisierung, den Schulungen und Revisionen.

Je nach Größe des Unternehmens können die Verantwortlichkeiten der Datenschutzbeauftragten variieren.

Qualifikationen des Datenschutzbeauftragten

• Beratung der Führungskräfte des Unternehmens zu Fragen der Informationssicherheit und der Datenschutzverpflichtungen.
• Kontaktperson für die DSGVO-Aufsichtsbehörden (ABs).
• Organisation von Schulungen für die an der Datenverarbeitung beteiligten Mitarbeiter.
• Durchführung von regelmäßigen Sicherheitsrevisionen und Erstellung von Berichten.
• Aufbewahrung von Aufzeichnungen über alle vom Unternehmen durchgeführten Datenverarbeitungsaktivitäten.
• Kontrolle der Maßnahmen, die die Organisation durchgeführt hat, um ihre persönlichen Daten zu schützen.

Nachdem die DSGVO zur Stärkung und Rationalisierung des Datenschutzes für Bürgerinnen und Bürger der Europäischen Union 2016 verabschiedet wurde, verschärfte auch die Regierung der USA im nachfolgenden Jahr ihre Datenschutzgesetze und -bestimmungen. Dementsprechend ist die Nachfrage nach Datenschutzexperten auf dem Markt kritisch gestiegen.

Risikomanagement-Beauftragter

Ein Risikomanager befasst sich mit den Risikorichtlinien und -prozessen in einem Unternehmen. Diese Position wird normalerweise bei großen Unternehmen besetzt, die potenzielle Risiken vorhersehen müssen. Die Risikobeauftragten verwalten alle Aspekte der Risikofunktion in einem Unternehmen und sorgen für die praktische Entwicklung von Risikomodellen. Sie befassen sich mit der Projektierung von Betriebs-, Kredit- und Sicherheitsrisiken, definieren Maßnahmen und stellen sicher, dass diese effektiv funktionieren. Die Risikomanager helfen den Entscheidungsträgern durch den Risikomanagementprozess.

Was Risikobeauftragte normalerweise tun:

• Bewerten und überwachen kundenspezifische Risiken und erstellen eine Risikomanagementstrategie.
• Analysieren die finanziellen Auswirkungen der potenziellen Risiken auf das Unternehmen.
• Bereiten Budgets für Risikomanagementkampagnen vor.
• Führen Risiko- und Compliance-Bewertungen und Revisionen für das Unternehmen durch.

Security Auditor

Um den Arbeitsumfang aller oben genannten Manager zu überprüfen, kommt ein Sicherheitsprüfer ins Spiel. Sicherheitsprüfer verfolgen einen allgemeineren ganzheitlichen Ansatz, um eine systematische Bewertung der Organisation zu garantieren. Sie können abschätzen, ob die im Unternehmen vorhandenen Prozesse einer Reihe festgelegter Sicherheitsrichtlinien entsprechen.

Das ist ein Muss für Unternehmen, die sich mit Datenschutz befassen und Sicherheitsverletzungen und Datenlecks vermeiden müssen. Viele Unternehmen verfügen über interne Sicherheitsrevisionen, um das Unternehmen beim Schutz vor Sicherheitsbedrohungen auf den neuesten Stand zu bringen. Sie benennen in der Regel eine bestimmte Person für die Position eines Sicherheitsprüfers oder beauftragen zu diesem Zweck einen externen Auditor. Während die Einleitung einer externen Revision mit zusätzlichen Kosten bei vermindertem Vertrauen und geringerer Glaubwürdigkeit verbunden sein kann, können interne Compliance-, Datenschutz- oder IT-Sicherheitsmanager die Funktionen eines Security Auditors ausführen.

Hauptaktivitäten eines Security Auditors

• Definition der Bedrohungen, die für diese Assets auftreten können.
• Bewertung der aktuellen Sicherheitsleistung.
• Durchführung der Risikobewertung und Priorisierung.
• Ausformulierung der Strategie für die bestehende Risikoeliminierung.
• Definition der zu ergreifenden Maßnahmen zum Schutz vor potenziellen Risiken.
• Schärfung des Sicherheitsbewusstseins der Mitarbeiter durch Schulung und Beratung.

Was kann für die Menschen hilfreich sein, die an den Compliance-Prozessen beteiligt sind?

Die Automatisierung und Digitalisierung spielen heutzutage eine wichtige Rolle für Compliance-Beauftragte, weil sie beim Umgang mit großen Datenmengen hilfreich sind. Warum sollten Sie sich mit den endlosen Tabellen beschäftigen, wenn es eine GRC-Lösung gibt, also eine Plattform, auf der Sie den Fortschritt verfolgen und mit anderen Personen zusammenarbeiten können, die für die Einhaltung der internationalen Standards verantwortlich sind.

Mit Infopulse SCM können die für die Compliance verantwortlichen Mitarbeiter die Assets klar definieren, mit Risikomanagement-Dashboards arbeiten, die Aufgaben für andere am Zertifizierungsprozess beteiligte Mitarbeiter festlegen, die Fortschritte verfolgen und sicherstellen, dass das Unternehmen alle Anforderungen der internationalen Standards erfüllt.