Zusammenfassung
Automatisierung von Compliance erfordert einen methodischen Ansatz, der über IT-gestützte Zugriffskontrollen, Archivierung- und Reporting-Lösungen hinausgeht. In diesem Beitrag wird ein Ebenenmodell vorgestellt, das zur Überführung von Gesetzestexten in IT-Systeme dienen kann und die nicht technische Sicht auf Compliance mit der technischen Sicht vereint. Als »Brücke« werden hierfür Policies, wie sie aus der IT-Sicherheit bekannt sind, vorgeschlagen. Es werden der präventive und reaktive Ansatz (Compliance »by design« versus Compliance »by detection«) einander gegenübergestellt und der Frage nachgegangen, wie sich deren Automatisierung auf die Flexibilität von Geschäftsprozessen auswirken kann.
Literatur
Agrawal, R.; Johnson, C.; Kiernan, J.; Leymann, F.: Taming Compliance with Sarbanes-Oxley Internal Controls Using Database Technology. In: Proceedings of the 22nd International Conference on Data Engineering 2006 (ICDE ’06), Atlanta, USA, 2006.
Cannon, J. C.; Byers, M.: Compliance deconstructed. CACM Queue, 4. Jg., 2006, Heft 7, S. 30–37.
Hurley, J.: The Struggle to Manage Security Compliance for Multiple Regulations. White Paper: Enterprise Security Management, Symantec, www.symantec.com/business/solutions/whitepapers.jsp?solid=public_sector; Zugriff am 07.05.2008.
Liebenau, J.; Kärrberg, P.:International Perspectives on Information Security Practices. London School of Economics and Political Science, McAfee, 2006.
Lischka, K.: Bürgerrechtler wüten gegen Microsoft-Musik mit Verfallsdatum. In: Spiegel online vom 30.04.2008, www.spiegel.de/netzwelt/web/0,1518,550686,00.html; Zugriff am 01.06.2008.
Prokein, O.: IT-Risikomanagement-Identifikation, Quantifizierung und wirtschaftliche Steuerung. DUV Gabler, Wiesbaden, 2008.
Richter, R.; Furubotn, E. G.: Neue Institutionenökonomik. Eine Einführung und kritische Würdigung. 3. Aufl., Mohr Siebeck, Tübingen, 2003.
Sackmann, S.: A Reference Model for Process-oriented IT Risk management. In: Proceedings of the 16th European Conference on Information Systems (ECIS’08), Galway, Irland, 2008.
Sackmann, S.; Kähmer, M.: ExPDT: A Layer-based Approach for Automating Compliance. In: Wirtschaftsinformatik, 50. Jg., 2008, Heft 5.
Sackmann, S.; Strüker, J.; Accorsi, R.: Personalization in privacy-aware highly dynamic systems. In: Communication of the ACM, 49. Jg. 2006, Heft 9, S. 32–38.
Sadiq, S. W.; Governatori, G.; Namiri, K.: Modeling Control Objectives for Business Process Compliance. In: Alonso, G. et al. (Hrsg.): Business process management. Springer-Verlag, Berlin, 2007, S. 149–164.
Schneider, F. B.: Computability classes for enforcement mechanisms. In: ACM Transactions on Programming Languages and Systems (TOPLAS), 28. Jg., 2006, Heft 1, S. 175–205.
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Sackmann, S. Automatisierung von Compliance. HMD 45, 39–46 (2008). https://doi.org/10.1007/BF03341248
Published:
Issue Date:
DOI: https://doi.org/10.1007/BF03341248