Archiv
© Bruce Parrott - fotolia.com
Unternehmen werden mit unzähligen Gesetzen, Verordnungen und Standards belastet. Verstöße aus Unkenntnis sind da an der Tagesordnung. Eine Compliance, gerade in der IT, schafft Abhilfe.
erschienen: 08.12.2011

Es ist nicht verwunderlich, dass das Thema Com­­pliance längst nicht mehr nur Gegenstand von Fachpub­likationen ist, sondern sogar den Weg in die Tagespresse findet. Als Ursache dieser Entwicklung beklagen viele Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen, Verordnungen, Normen und Standards. Unternehmen aller Größenordnungen laufen dadurch Gefahr, aus Unkenntnis gegen Regeln zu verstoßen. Das zu vermeiden ist Zielsetzung der Corporate Com­pliance, im IT-Bereich speziell der IT-Compliance.

Compliance-Begriff

In einem allgemeinen, grundlegenden Verständnis ist ein Unternehmen „compliant“, wenn es in seiner Geschäftstätigkeit bestimmte relevante Vorgaben befolgt. Neben dem Begriff der Befolgung wer­den auch die Begriffe Über­ein­stim­mung, Ein­hal­tung, Konformität, Erfüllung oder Entsprechung ver­wen­det. Wel­che Vorgaben relevant sind, ist einerseits unter­neh­mensextern vorgegeben, andererseits selbst ge­wählt.

StichwortCompliance

Compliance liegt demnach vor, wenn alle für das Unter­neh­men ver­bindlich vorge­gebe­nen beziehungsweise als verbindlich akzeptierten Vorgaben nachweislich ein­ge­halten werden. Eine besondere Bedeutung kommt dabei der nicht nur potenziellen, sondern faktischen Nachweisbarkeit zu.

Nachweisbarkeit ist notwendig, um sich im Verdachts- und Streitfall aus der Affäre ziehen zu können. Notwendige Voraussetzung für die Nachweisbarkeit ist eine lückenlose Dokumentation der Erfüllung von Vorgaben. Doku­men­tationspflichten sind zu­dem auch ohne explizite Rege­lung erfor­derlich, um den zentralen Management­anforderun­gen der Trans­pa­renz und Kon­trolle zu ge­nügen.

So­fern die Vorgaben aus Gesetzen stammen, bedeutet dies, dass sich Un­ter­neh­men an geltendes Recht zu halten haben – was eigent­lich eine Selbst­ver­ständ­lich­keit sein sollte. Neben Gesetzen, oder besser Rechts­nor­men, hat ein Unter­nehmen jedoch auch weitere Vorgaben aus unter­schied­lichen Regel­werken zu beachten. Diese er­strecken sich auf Verträge, die die rechtlichen Vorgaben er­gän­zen, sowie auf unterneh­mens­interne und -externe Regelwerke. Die unternehmensexternen be­in­halten vor allem DIN- und ISO-Normen und -Standards. In Bezug auf die IT können das zum Beispiel CMMI, ITIL und Cobit sein. Diese können für ein Unternehmen genauso von exis­tenzieller Be­deu­tung sein wie die Befolgung gesetzlicher Vorgaben.

Vor allem gilt das für Standards, die sich in einer Branche durch­gesetzt haben und hier somit eine grundlegende Voraussetzung für die Ge­schäfts­tätigkeit darstellen. Bei­spiele für unternehmensinterne Regelungen aus dem IT-Bereich sind in­terne IT-Richtlinien oder IT-Verfahrensvorgaben zur IT-Sicherheit, also zum Beispiel IT-Sicher­heits­vor­schriften, E-Mail-Richtlinien und Regelungen zum Umgang mit Pass­wörtern. Aber auch zwischen der IT-Abteilung und den Fach­ab­tei­lun­gen vereinbarte Service Level Agreements zählen zu dieser Gruppe. Interne Regelwerke sind aus zweierlei Hinsicht relevant für die Compliance: Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anfor­de­run­gen aller anderen Re­gelwerke sicherzustellen, indem sie konkrete Hand­lungs­an­weisungen für die Organi­sations­mitglieder vorgeben. Hierdurch dokumen­tieren sie zum anderen nach außen, dass externen Verpflichtungen, ins­be­sondere rechtlichen Vorgaben, nachgekommen wird.

Quellen von Compliance-Vorgaben. Quelle: SAPERION

IT-Compliance

Als Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet IT-Com­pliance einen Zustand, in dem alle für die IT des Unternehmens rele­van­ten Vorgaben nachweislich ein­ge­halten werden. Hierbei ist es unerheblich, ob die IT-Leistungen ausschließlich unter­neh­mensintern oder (teilweise) durch externe IT-Dienstleister – zum Beispiel im Rahmen von Entwicklungs-, Hosting-, Out­sourcing­-Verträgen – erbracht werden. Eine weitere Sichtweise ver­steht IT-Compliance als Einsatz von Soft- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken sichergestellt werden kann. In diesem Sinne handelt es sich um „IT-ge­stützte Compliance“. 

IT-Com­pliance betrachtet die IT als Träger von Compliance-Anfor­de­run­gen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen:

  • Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
  • Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anfor­de­run­gen sind von ihnen zu erfüllen?
  • Welche Risiken resultieren in welcher Höhe aus fehlender oder mangel­hafter Compliance der IT?
  • Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse) zu erfüllen?
  • Welche technischen, organisatorischen und personellen Maßnahmen sind für die Gewährleistung von IT-Compliance zu ergreifen?

IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von Com­pliance genutzt wird. Bei dieser Sichtweise stellen sich etwa folgende Fragen:

  • Welche Compliance-Anforderungen haben die Geschäftsprozesse zu er­füllen?
  • Welche Compliance-Anforderungen kann eine spezifische Hard- oder Software adressieren?
  • Welche Hard- oder Softwarelösung ist für die Erfüllung der Compliance-Anfor­de­run­gen am besten geeignet?
  • Wie sind die verfügbaren Compliance-Tools aufeinander abzustimmen?

Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und inso­fern beide notwendig sind, um Compliance im Allgemeinen und IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch) IT-gestützte Com­pliance vor.

Nutzen von IT-Compliance

Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vor­schrif­ten soll IT-Com­pliance ein Unternehmen vor allem vor wirtschaftlichen Nach­teilen als Folge von Rechts­ver­letzungen bewahren. Es sollen insbeson­dere Schadens­er­satz­pflichten, Stra­fen, Buß- und Zwangs­gelder, aber auch erhöhte Steu­er­zahlungen nach Schätzungen des Finanzamts ver­mie­den werden. So kann ein Schaden entstehen, wenn ein Unter­nehmen im Rahmen einer ge­richt­lichen Auseinandersetzung wichtige Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nach­kommen kann.

Zusätzlich zu mone­tären Schäden ist ein poten­ziel­ler Image­schaden von Bedeutung. Dieser kann sich leicht ein­stellen, wenn etwa gegen Daten­schutz­normen verstoßen wird oder Kunden­daten miss­braucht werden. Die Folgen können nega­tive Publicity, Nach­teile bei der Vergabe öffentlicher Auf­träge oder gar Kun­den­ab­wan­derungen sein. Neben dieser Schutzfunktion, die auf die Ver­mei­dung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden:

Wertbeitrag

Wenn die IT-Abteilung eines Unternehmens ihre Compliance nach­wei­sen kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des Unter­nehmens­wertes. Erweisen sich be­stimmte Standards (zum Beispiel Sicherheits­zerti­fika­te) als Markteintrittsbarrieren, ist der Wert­bei­trag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Um­satz­chan­­cen nicht genutzt werden. Andererseits kann mangelnde IT-Com­pliance zu Ab­­schlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmens­trans­aktionen führen, wenn sich während einer Due-Dilli­gence-Prüfung IT-Compliance-Risiken offenbaren.

IT-Qualität

Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höhe­ren Qualität von IT-Prozessen bei, insbesondere durch eine höhere Transparenz. Diese führt zu einer verbesserten Steue­rungsfähigkeit, aber auch Auditierbarkeit der IT.

IT-Sicherheit und IT-Risiken

Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Be­triebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicher­heitsziele der Vertraulichkeit, Verfüg­barkeit und Integrität. Hieraus resul­tieren Nutzenpotenziale für die IT-Sicher­heit. Glei­ches gilt für das IT-Risiko­manage­ment.

IT-Kosten

Kosteneinsparungen resultieren unter anderem aus der Automatisierung manueller Ar­beits­abläufe (beispielsweise bei der Über­wachung oder im Reporting), geringeren Kosten in der IT-Ad­ministration und -War­tung oder bei der Durchführung von Prüfungs­handlungen.

IT-Compliance-Prozess

Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die heu­te fast durch­gängige IT-Unter­stützung aller Unternehmensprozesse sind Compliance-Anfor­derun­gen nicht mehr lediglich auf steuerliche oder daten­schutzrechtliche Belange be­grenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens „compliant“ mit ver­schie­densten Rege­lungen sein muss. Hierzu ist es notwendig, einen Überblick über die rele­vanten Compliance-Anforderungen zu gewinnen:

  1. Die Identifizie­rung von Compliance-relevanten Regelwerken sowie die Ab­leitung und Doku­men­ta­tion der Compliance-Anforderungen, die vom Unter­nehmen mit gegebenenfalls unter­schied­licher Priorität einzu­halten sind. Sie bilden den ersten und wich­tigsten Auf­gaben­bereich eines IT-Com­pliance-Prozesses.
  2. Die Schaffung einer betrieblichen Organisation von Prozessen, Verfah­rens­rege­lungen, Delegationen und möglichst weitgehend automa­ti­sier­ten Kontrollen zur Über­wachung der Einhaltung aller Anforderungen der IT-Compliance
  3. Die Information aller in irgendeiner Form im Hinblick auf die be­ste­hen­den Ver­pflichtungen handelnden Betriebsangehörigen und gegebenfalls ent­spre­chend ein­gesetzter Dritter über die einzuhaltenden Regelungen
  4. Die Dokumentation der Information und der Organisation und insbe­son­dere deren Überwachung
  5. Die Einrichtung eines Change Managements zur Reaktion auf neue Ent­wicklungen der Anforderungen, zum Beispiel innerhalb der aktuellen Recht­spre­chung oder erkannter Compliance-Schwach­stellen und -Risiken.

Beispiel: Elektronische Personalakte

Wer die Dokumente einer Personalakte in einem elektronischen Archiv beziehungsweise Dokumentenmanagementsystem verwalten möchte, muss sich sowohl um die Aspekte des Bundesdatenschutzgesetztes (BDSG) als auch um die Regeln der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme kümmern. Persönliche Daten sind besonders schützenswert, daher muss pro Information genau definiert werden, wer auf welche Daten welchen Zugriff erhält. In der Regel verfügt nur der direkt verantwortliche Personalmitarbeiter über den vollen Lesezugriff, zeitlich begrenzt erhält der Vorgesetzte nur auf einen Teil der Daten Zugriff.

Jeder Zugriff und jede Änderung muss vom System zum Nachweis protokolliert werden, auch wenn ein Dokument exportiert wird. Die Dokumente müssen je nach Typ unterschiedlich lange aufbewahrt und auch unbedingt vernichtet werden, wie zum Beispiel die Abmahnung nach spätestens vier Jahren, meist jedoch schon nach zwei Jahren.

Bezüglich der Aufbewahrung fordern die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) – um einige Anforderungen zur Vermeidung von Verlusten und Manipulationsmöglich­keiten zu nennen – dass Dokumente zeitnah in das Archivsystem  überführt werden müssen. Wird ein archiviertes Dokument geändert, muss es als neue Revision abgelegt, das heißt das Original muss unverändert aufbewahrt werden. Damit die Dokumente zu Prüfzwecken wiedergefunden werden können, müssen sie nach entsprechenden Ordnungskriterien indiziert werden.

Die GoBS fordern das Erstellen einer Verfahrensdokumentation zur Beschreibung aller Prozesse, sowohl der organisatorischen als auch der technischen. Ohne diese Dokumentation darf ein Steuerprüfer und auch der Finanzbeamte nicht mit seiner Arbeit beginnen.

(keine Bewertung)  Artikel bewerten

Über die Autoren
Prof. Dr. Michael Klotz

Prof. Dr. Michael Klotz hat eine Professur für Informationsmanagement und Unternehmensorganisation an der FH Stralsund inne. 2008 gründete er das „Stralsund Infor­mation Management Team“ (SIMAT). Klotz ist stellver­tretender Leiter des Instituts für regenerative Energiesysteme (IRES). Zahlreiche Publikationen und Vorträge sowie Funktionen in Verbänden und als Beirat runden sein Betätigungsfeld ab.

AnschriftProf. Dr. Michael Klotz
FH Stralsund - Stralsund Information Management Team
Zur Schwedenschanze 15
18435 Stralsund
Tel.03831-456946
E-Mailmichael.klotz@simat.fh-stralsund.de
Webwww.simat-stralsund.de
Dr. Martin Bartonitz

Martin Bartonitz ist Product Manager Workflow bei der SAPERION AG. Er kann rund 20 Jahre Erfahrung im BPM-Umfeld vorweisen und hat sich auf diesem Gebiet auch als Autor und Blogger einen Namen gemacht. Vor seiner Arbeit für SAPERION war Bartonitz als freier Mitarbeiter für die Unternehmensberatung PROCJECT CCONSULT tätig, wo er seine Expertise in den Bereichen Vorgangsbearbeitung und Signaturen weiter ausbauen konnte.

AnschriftDr. Martin Bartonitz
SAPERION AG
Steinplatz 2
10623 Berlin
Tel.030-600610
E-Mailma_bartonitz@saperion.com
Webwww.saperion.de