Das ist eine der zentralen Aussagen im Report „The Future of Compliance 2023“, den Deloitte jetzt veröffentlicht hat. 84 Prozent der Befragten gaben an, dass Compliance-Ziele für den Erfolg ihres CMS eine wichtige Rolle spielen. Allerdings haben nur 61 Prozent solche Ziele definiert. Je größer und internationaler die Organisation aufgestellt ist, desto mehr dienen Compliance-Ziele auch der Vermittlung einer einheitlichen Compliance-Kultur, stellt Deloitte fest.

Weitere Erkenntnisse aus der Erhebung:

Unterschiedliche Zeithorizonte bei der Definition von Compliance-Zielen wirken sich nicht nur auf deren Formulierung, sondern auch auf die dahinterliegende Strategie und Umsetzung aus. 65 Prozent der teilnehmenden Organisationen mit entsprechenden Compliance-Zielen gaben an, dass sie Jahresziele definiert haben, gefolgt von mittelfristigen Zielen mit 51 Prozent, langfristigen mit 36 Prozent und kurzfristigen Zielen 32 Prozent. Deloitte empfiehlt, unterschiedliche Zeithorizonte zu berücksichtigen.

Die reine Quantifizierung der Compliance-Ziele hat sich in der Praxis nicht bewährt. Eine Mischung aus qualitativen und quantitativen Zielsetzungen hat sich durchgesetzt. 54 Prozent der Teilnehmenden mit definierten Compliance-Zielen gaben an, sowohl qualitative als auch quantitative Ziele zu verfolgen, 44 Prozent setzen eher auf qualitative Ziele. Nur zwei Prozent haben rein quantitative Ziele formuliert.

Die Messbarkeit von Zielen ermöglicht die Bewertung der Wirksamkeit von Maßnahmen. Allerdings spielt für 44 Prozent der Befragten die Messbarkeit lediglich eine eher bedeutende Rolle bei der Definition von Compliance-Zielen. Zehn Prozent sprechen dem Kriterium sogar keine Bedeutung zu.

Weitere Infos zum Report „The Future of Compliance 2023“ finden Sie hier.

fab

IT-Compliance Autoren: Dr. Michael Rath, Rainer Sponholz Die Risiken der Digitalisierung und die zunehmende Abhängigkeit von einer funktionsfähigen Datenverarbeitung zwingen Unternehmen zur Einhaltung aller einschlägigen IT-Regularien (IT-Compliance). Denn der Gesetzgeber und die Aufsichtsbehörden drohen mit immer härteren Sanktionen bei Versagen der Informationssicherheit (z. B. Stichwort KRITIS oder DSGVO). Wie Sie wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und systematisch steuern, erläutern Michael Rath und Rainer Sponholz in der umfassend aktualisierten 3. Auflage ihres Pionierwerks. Prinzipien, Wirkungsmodell und Rechtsrahmen der IT-Compliance Klassifizierung und Priorisierung notwendiger Schutzmaßnahmen Standards und Rahmenwerke wie die ISO 27000-Familie oder das COBIT-Framework der ISACA Mapping von Standards als Instrument des integrierten Anforderungsmanagements IT-Compliance-Management – Organisationsformen, Methoden, Umsetzung