Compliance Wie IT hilft, den Anforderungen des Gesetzgebers gerecht zu werden

Verbindliche Regeln über die revisionssichere Aufbewahrungsteuer- und geschäftsrelevanter Firmeninformationen betreffen nicht nur große, sondern im selben Maße kleine und mittlere Unternehmen. Jedes Unternehmen, das per E-Mail Geschäfte abwickelt, muss sich mit dem Thema beschäftigen und gegebenenfalls seine IT-Infrastruktur anpassen.

Die Basel-II-Vorgaben setzen ebenfalls spezielle Anforderungen an den schnellen Zugriff auf Unternehmensdaten. Ist ein Unternehmen beispielsweise in der Lage, die Basel-II-Kennzahlen schnell bereitzustellen, verfügt es über eine gute Grundlage für das interne Rating. Es kann auch hilfreich sein, wenn der Schriftverkehr zu früheren Projekten rasch abrufbar ist, um die damals gefällten Entscheidungen schnell nachvollziehen zu können.

Eine fertige Paketlösung zur Erfüllung der Compliance-Anforderungen finden die Unternehmen kaum vor. Ein positiver Aspekt ist daher, dass durch Compliance-Anforderungen der Druck entsteht, sich mit eigenen Prozessen auseinanderzusetzen, so ein Ergebnis einer Studie, die die Universität Erlangen-Nürnberg mit Unterstützung von Novell durchgeführt hat. Unternehmen würden den Zwang zur Compliance oftmals für Prozessoptimierungen nutzen, mit dem Ergebnis, dass 70 Prozent des Compliance-Erfolges durch Prozessverbesserungen erzielt würden. Um IT-Compliance zu erfüllen, sei die weitere Automatisierung von Prozessen notwendig. Gleichzeitig müssten immer mehr Compliance-Aufgaben bei gleichbleibender Anzahl an Mitarbeitern berücksichtigt werden.

Die Erfüllung von Compliance-Anforderungen führt zwar zunächst zu Kosten und stößt eventuell auf Akzeptanzprobleme, gleichzeitig werden aber auch interne Geschäftsprozesse beleuchtet und bringen so eine gute Grundlage für das interne Rating.

Was ist Basel II?

Basel II ist eine Sammlung der Eigenkapitelvorschriften für Banken und Finanzinstitute. Diese Regelungen sind darauf ausgelegt, insbesondere bei Unternehmen vor jeder Kreditentscheidung eines Kreditgebers eine individuelle Einschätzung der Bonität vorzunehmen. Diese erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externes Rating. Mit in die Entscheidung über eine Kreditentscheidung fließen sowohl Markt- und Kreditrisiken auf Seiten der Bank als auch Risiken der Umsetzung des kreditnehmenden Unternehmensmit ein.

Zu den Risiken, die für den Unternehmer entstehen können, gehört auch der Einsatz von Informationstechnologie in den Unternehmensprozessen. Hierbei sei vor allem auf die Notwendigkeit eines aktiven IT-Risiko-Managements verwiesen, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Diese IT-Managementaufgaben sollten, Risiko minimierend, die Sicherheit sowie die stete Verfügbarkeit verwendeter IT-Systeme beinhalten, Vorsorgen für System-Notfälle bedenken und die Redundanz wichtiger Systemeinheiten gewährleisten. Grundsätzlich gilt: Höheres Risiko resultiert in höheren Zinsen. Das Unternehmen mit dem besten Rating erhält die günstigsten Kreditkonditionen. Für mittelständische und KMUs gilt eine Sonderregelung: Wenn Unternehmen wenig Eigenkapitel in die Fremdfinanzierung mit einbringen können, gelten hier andere Maßstäbe der Eigenkapitelbemessung der Bank. Davon bleibt aber die Kreditwürdigkeitsprüfung durch die Bank unberührt!

Sicherheit und Datenschutz ernst nehmen

Die Sicherheit in der Informations- und Kommunikationstechnik gehört in den wenigsten mittelständischen Unternehmen zur Kernkompetenz. Dennoch ist den Verantwortlichen in Management und IT dringend geraten, sich entweder selbst oder mit Unterstützung des IT-Partners um folgende Fragen zu kümmern: Welche Sicherheitsstandards gibt es? – Welcher Sicherheitsstandard ist im Unternehmen notwendig oder sinnvoll? – Wie wird dieser implementiert? – Wer ist dafür verantwortlich?

Die Auswahl von Sicherheitsstandards gehört zu den Grundlagen der IT-Strategie eines Unternehmens. Sie kann daher nicht nur aus Gründen der Compliance-Anforderungen erfolgen. Sie muss im Sinne der Wertschöpfung von IT dem Unternehmen auch einen Nutzen bringen, indem sie tatsächlich die Sicherheit erhöht und Risiken minimiert!