Khosla·Compliance Betriebliche Compliance-Kompetenz · Teil 3
Betriebliche Compliance-Kompetenz · Teil 3
Einordnung · Systemunterstützung
Juni 2026 · Khosla Compliance
12 Minuten Lesezeit

Welche Systeme gelebte Compliance tragen

Wie Vorgänge, Entscheidungen und Wiedervorlagen im Betrieb zusammenbleiben

Teil 1 der Reihe ordnet betriebliche Compliance-Kompetenz als Dachmodell ein. Teil 2 übersetzt diese Kompetenz in Compliance im Prozessdesign. Teil 3 setzt dort an, wo der Ablauf fachlich steht: Der Vorgang läuft durch vorhandene Systeme und muss seinen Zusammenhang behalten.

HR meldet, der Vorgesetzte begründet, der Systemowner entscheidet, IT setzt um, das System hält den Stand.

Kernthese

Ein Prozess kann über mehrere Systeme laufen. Für die Auskunftsfähigkeit muss trotzdem erkennbar bleiben, was ihn ausgelöst hat, wer entschieden hat, was umgesetzt wurde und wann erneut geprüft wird.

Gelebte Compliance entsteht, wenn Anlass, Daten, Entscheidung, Umsetzung und Wiedervorlage einen zusammenhängenden Arbeitsstand ergeben.
HR-System kennt den Eintritt.
Ticketsystem führt den Auftrag.
IAM setzt den Zugriff.
Ablage hält die Freigabe.
Wiedervorlage startet den Review.
!
Praxisanker · Benutzeranlage

Ein neuer Mitarbeiter startet. HR meldet Eintritt, Rolle und Organisationseinheit. Der Vorgesetzte benennt die benötigten Systeme. Ein Systemowner genehmigt einen kritischen Zugriff. IT richtet Konto, Gerät und MFA ein.

Drei Wochen später ist das Ticket geschlossen. Die fachliche Freigabe liegt in einer E-Mail. Die tatsächlich vergebenen Rechte stehen im Verzeichnisdienst. Der Schulungsnachweis liegt in einer Lernplattform. Für den Access Review wurde kein verbindlicher Termin gesetzt.

Der Prozess wurde durchgeführt. Der vollständige Arbeitsstand ist trotzdem nicht ohne Rekonstruktion erkennbar. Die Leitfrage lautet daher: Welche Systemfunktionen sorgen dafür, dass Anlass, Daten, Freigabe, Umsetzung und Wiedervorlage über den gesamten Vorgang verbunden bleiben?

1
Prozessspur

Ein Prozess kann seine Spur verlieren

Ein fachlich gestalteter Prozess beantwortet, wer was prüft, entscheidet und umsetzt. Im Betrieb verteilt sich diese Arbeit auf Rollen und Systeme. HR eröffnet den Vorgang. Der Vorgesetzte ergänzt den Bedarf. Der Systemowner gibt Rechte frei. IT setzt die Entscheidung um. Das führende Vorgangssystem hält Status und offene Punkte.

Nach Abschluss liegen die Informationen oft getrennt: Eintritt im HR-System, Bedarf im Ticket, Freigabe in einer E-Mail, Rechte im IAM, Schulung in der Lernplattform, Review im Kalender. Die Daten existieren. Sie ergeben jedoch nicht automatisch einen gemeinsamen Arbeitsstand.

Kernaussage

Die Herausforderung liegt häufig nicht in fehlenden Daten. Sie liegt in der fehlenden Verbindung zwischen Anlass, Entscheidung, Umsetzung und Wiedervorlage.

2
Systemrollen

Jedes System braucht eine klare Aufgabe

Die Systemlandschaft muss nicht aus einem einzigen Werkzeug bestehen. Für jeden Vorgang muss jedoch feststehen, welches System welchen Teil verbindlich führt. Ein HR-System darf auslösen, ein Ticketsystem darf führen, ein IAM darf umsetzen, eine Ablage darf Freigaben halten und eine Aufgabenlogik darf die nächste Prüfung starten.

01
Auslösendes System
Wo beginnt der Vorgang? Dort entstehen Anlass, Startzeitpunkt und erster Bezug.
02
Führendes Vorgangssystem
Wo werden Vorgangsnummer, Owner, Status, Frist und offene Punkte geführt?
03
Datenführendes System
Wo liegen verbindliche Stamm- und Fachdaten zu Person, System, Lieferant oder Vertrag?
04
Ausführendes System
Wo erfolgt die technische oder organisatorische Umsetzung?
05
Entscheidungs- und Nachweisablage
Wo bleiben Freigaben, Ausnahmen, Auflagen und Belege erhalten?
06
Wiedervorlage und Auswertung
Wo wird die erneute Prüfung ausgelöst und der aktuelle Stand sichtbar?

Ein System muss nicht alle Funktionen erfüllen. Der Vorgang braucht aber eine klare Zuordnung, damit niemand nachträglich erraten muss, welche Information führend war.

3
Mindestfunktionen

Fünf Mindestfunktionen für einen belastbaren Arbeitsstand

Damit ein Vorgang später auskunftsfähig bleibt, braucht er fünf betriebliche Mindestfunktionen. Diese Mindestarchitektur kann durch ein System oder durch mehrere verbundene Systeme erbracht werden.

01
Vorgang eindeutig eröffnen
Der Vorgang erhält Kennung, Auslöser, fachlichen Zweck, Owner und Startzeitpunkt.
02
Daten und Beziehungen verknüpfen
Der Vorgang verweist auf Person, Rolle, System, Lieferant, Schwachstelle, Vertrag, Ausnahme oder Vorfall.
03
Entscheidungen festhalten
Erkennbar bleiben Rolle, Datum, Grundlage, Ergebnis, Auflage und Gültigkeitsdauer.
04
Umsetzung und Nachweise zuordnen
Der Vorgang zeigt, was umgesetzt wurde, wann es erfolgte, welches System betroffen ist und wo der Beleg liegt.
05
Wiedervorlage verbindlich auslösen
Die Wiedervorlage enthält Termin, Anlass, Owner, erwartete Prüfung und Eskalation bei Fristüberschreitung.
4
Benutzeranlage

Ein Vorgang läuft durch mehrere Systeme

Die Benutzeranlage zeigt, wie Systemunterstützung funktioniert. Der Zusammenhang entsteht durch eindeutige Referenzen, gemeinsame Kennungen, Links, Zeitstempel und benannte Owner. Dafür braucht es keine technische Integrationszeichnung. Es braucht eine verbindliche Übergabe.

Auslösendes SystemVorgang eröffnen
HR meldet Eintritt, Rolle und Organisationseinheit. Anlass und betroffene Person sind eindeutig.
Führendes VorgangssystemOwner, Status und Frist führen
Das Ticket erhält Vorgangsnummer, Owner, Status und Frist. Der fachliche Bedarf wird ergänzt.
Datenführende SystemeStamm- und Fachdaten bereitstellen
Rolle, Organisationseinheit, Systembezug und vorhandene Berechtigungen werden referenziert. Die Datenbasis bleibt auffindbar.
Ausführende SystemeEntscheidung umsetzen
IAM und IT setzen Konto, Rechte, Gruppen, Gerät und MFA um. Soll und Ist können verglichen werden.
NachweisablageFreigaben und Belege erhalten
Freigabe, Ausnahme, Auflage und Schulungsnachweis bleiben mit dem Vorgang verbunden. Die Entscheidung bleibt nachvollziehbar.
WiedervorlageNächste Prüfung auslösen
Access Review, Rollenwechsel oder Austritt starten einen neuen Prüfanlass. Der Zugriff wird erneut betrachtet.
Arbeitsstand

Anlass, Datenbasis, Entscheidung, Umsetzung, offene Punkte und nächster Termin ergeben eine aktuelle Aussage zum Vorgang.

Prozessschritt
Führende Information
Systemfunktion
Übergabe
Verbleibender Arbeitsstand
HR meldet Eintritt
Startdatum, Rolle, Organisation
Vorgang auslösen
Referenz an Ticket
Anlass und betroffene Person sind eindeutig.
Vorgesetzter meldet Bedarf
Systeme, Rechte, Begründung
Vorgang ergänzen
Übergabe an Systemowner
Fachlicher Bedarf ist dokumentiert.
Systemowner entscheidet
Freigabe, Auflage, Ablehnung
Entscheidung festhalten
Übergabe an IT
Entscheidungsgrundlage bleibt nachvollziehbar.
IT setzt um
Konto, Rechte, MFA, Gerät
Technische Umsetzung
Rückmeldung an Vorgang
Soll und Ist können verglichen werden.
Review wird terminiert
Datum, Owner, Prüfanlass
Wiedervorlage
Neuer Vorgang oder Review
Zugriff wird erneut betrachtet.

Das Praxisbeispiel IT-Onboarding und Zugriff dokumentieren zeigt denselben Vorgang aus der operativen Perspektive.

5
Bestehende Werkzeuge

Vorhandene Systeme gezielt nutzen

Viele mittelständische Unternehmen haben bereits HR-System, Ticket- oder Workflowsystem, Microsoft 365 oder vergleichbare Bürosoftware, Verzeichnisdienst oder IAM, Dokumentenablage, Kalender, Aufgabenverwaltung, Schulungsplattform sowie Einkaufs- oder Lieferantensystem. Der Einstieg gelingt, wenn diese Systeme klare Aufgaben erhalten und Übergaben verbindlich gestaltet werden.

Stufe 1

Verbindliche Arbeitsweise mit vorhandenen Werkzeugen

  • einheitliche Vorgangsnummer
  • definierte Ablage
  • feste Freigabefelder
  • benannte Owner
  • verbindliche Wiedervorlage
Stufe 2

Geführter Workflow

  • standardisierte Formulare
  • Statuslogik
  • Pflichtfelder
  • automatische Erinnerungen
  • rollenbasierte Freigaben
Stufe 3

Verbundene Systemlandschaft

  • Stammdatenübernahme
  • automatische Übergaben
  • Statusrückmeldungen
  • gemeinsame Auswertung
  • konsistente Historie

Der erforderliche Integrationsgrad richtet sich nach Häufigkeit, Risiko, Prozesskomplexität und Zahl der Beteiligten. Ein seltener Vorgang kann mit verbindlicher Arbeitsweise auskommen. Ein häufiger oder risikoreicher Vorgang braucht mehr Führung.

6
Arbeitsstand

Der Arbeitsstand verbindet die Systeme

Am Ende soll keine möglichst große Dokumentensammlung stehen. Der Arbeitsstand beantwortet: Welcher Vorgang läuft? Was hat ihn ausgelöst? Wer trägt ihn? Welche Daten liegen vor? Was wurde geprüft? Wer hat entschieden? Was wurde umgesetzt? Welche Ausnahme bleibt offen? Wann wird erneut geprüft? Wo liegen die zugehörigen Belege?

System

Die technische Umgebung, in der Daten oder Arbeitsschritte geführt werden.

Datensatz oder Beleg

Eine einzelne Information, Entscheidung oder Umsetzung.

Arbeitsstand

Die aktuelle, zusammenhängende Aussage über Anlass, Verantwortung, Entscheidung, Umsetzung, offene Punkte und Wiedervorlage.

Systeme tragen gelebte Compliance, wenn sie den betrieblichen Vorgang nicht in Einzelinformationen zerlegen, sondern seine Entscheidungen, Umsetzungen und nächsten Prüfpunkte als zusammenhängenden Arbeitsstand erhalten.

Übertragung

Drei weitere Vorgänge folgen derselben Logik

Lieferant mit Systemzugriff

Einkauf, Vertrag, Ticket, IAM, Fernzugang, Nachweisablage und Wiedervorlage halten Zweck, Umfang, Freigabe, Authentifizierung, Laufzeit, Logging, Meldeweg und Review zusammen.

Lieferantenzugriff ansehen →

Patch-Ausnahme

Schwachstellenscanner, Ticket, Assetdaten, Entscheidungsablage, Change Management und Wiedervorlage verbinden Schwachstelle, Begründung, Maßnahme, Owner, Freigabe und neues Datum.

Patch Management ansehen →

Sicherheitsvorfall und Meldebewertung

Monitoring, Incident-Ticket, Vorfalldokumentation, Meldebewertung, Kommunikationsweg und Wiedervorlage verbinden Kenntniszeitpunkt, Lagebild, Wirkung, Entscheidung und Meldestatus.

Meldebewertung ansehen →
Überleitung zu Teil 4

Sind Vorgang und Systeme verbunden, bleibt eine zweite Frage: An welchen Stellen darf der Prozess weiterlaufen, und wann braucht er Prüfung, Entscheidung oder Eskalation? Diese Frage behandelt der nächste Beitrag.

Nächster Beitrag

Von verbundenen Systemen zu wirksamen Prüfpunkten

Ein verbundener Arbeitsstand macht sichtbar, was im Vorgang bekannt, entschieden und umgesetzt wurde. Im nächsten Schritt muss der Prozess an den richtigen Stellen prüfen, freigeben oder eskalieren. Der folgende Beitrag behandelt Quality Gates im Tagesgeschäft.

Teil 1
Von der Regime-Anforderung zur betrieblichen Kompetenz
Das Dachmodell der Reihe.
Teil 2
Compliance im Prozessdesign
Auslöser, Daten, Prüfung, Entscheidung, Umsetzung und Wiedervorlage.
Teil 4 · folgt
Quality Gates im Tagesgeschäft
Wo der Prozess prüfen, freigeben oder eskalieren muss.
Praxisbeispiel
IT-Onboarding und Zugriff dokumentieren
Benutzeranlage als betrieblicher Compliance-Vorgang.
Arbeitsplatz
Arbeitsstände im Compliance Arbeitsplatz ansehen
Zurückhaltender Produktpfad für geführte Arbeitsstände.
Häufige Fragen
Benötigt werden Funktionen für Vorgangserfassung, Datenbezug, Entscheidung, Umsetzung, Nachweiszuordnung und Wiedervorlage. Diese Funktionen können auf mehrere vorhandene Systeme verteilt sein.
Eine neue GRC-Plattform ist nicht in jedem Fall der erste Schritt. Bestehende Systeme können den Einstieg tragen, wenn ihre Aufgaben, Übergaben und führenden Daten klar geregelt sind.
Das führende Vorgangssystem hält mindestens Kennung, Owner, Status, Frist, Entscheidung und offene Punkte. Technische Umsetzung und Stammdaten können in anderen Systemen geführt werden.
Eindeutige Vorgangsnummern, gemeinsame Referenzen, Links, Zeitstempel und benannte Owner halten die Informationen zusammen. Bei höherem Volumen können automatisierte Übergaben hinzukommen.
Eine Ablage speichert einzelne Dateien oder Belege. Ein Arbeitsstand verbindet Anlass, Datenbasis, Entscheidung, Umsetzung, offene Punkte und Wiedervorlage zu einer aktuellen betrieblichen Aussage.