ComplianceDefinition und Nutzen von IT-Compliance

Viele Unternehmen beklagen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen, Verordnungen und Normen. Sie laufen Gefahr, aus Unkenntnis darüber gegen Regeln zu verstoßen. Dies zu vermeiden, ist Ziel der so genannten Corporate Compliance, auf die IT bezogen der IT-Compliance.

IT-Compliance bedeutet, dass alle für die IT des Unternehmens rele­van­ten Vorgaben nachweislich ein­ge­halten werden. Hierbei ist es unerheblich, ob die IT-Leistungen ausschließlich unter­neh­mensintern oder durch externe IT-Dienstleister – zum Beispiel im Rahmen von Entwicklungs-, Hosting- oder Out­sourcing­-Verträgen – erbracht werden.

Eine weitere Sichtweise ver­steht IT-Compliance als Einsatz von Software- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken sichergestellt werden kann. In diesem Sinne handelt es sich um IT-ge­stützte Compliance. IT-Compliance betrachtet die IT als Träger von Compliance-Anfor­de­run­gen. Bei dieser Sichtweise stellen sich folgende Fragen:

• Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
• Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anfor­de­run­gen müssen sie erfüllen?
• Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter IT-Compliance?
• Welche Compliance-Anforderungen müssen die einzelnen IT-Bereiche (Infrastruktur, Datenhaltung, Betrieb, Prozesse) erfüllen?
• Welche technischen, organisatorischen und personellen Maßnahmen müssen für die Gewährleistung von IT-Compliance ergriffen werden?

Neben Gesetzen müssen Unter­nehmen auch weitere Vorgaben aus unter­schied­lichen Regel­werken beachten. Diese er­strecken sich auf Verträge, die die rechtlichen Vorgaben er­gän­zen, sowie auf unterneh­mens­interne und unternehmensexterne Regelwerke.

Die unternehmensexternen Regelwerke be­in­halten vor allem DIN-Normen und ISO-Normen und Standards. In Bezug auf die IT können das zum Beispiel ITIL (IT Infrastructure Library) oder COBIT (Control Objectives for Information and Related Technology) sein. Diese können für ein Unternehmen genauso von exis­tenzieller Be­deu­tung sein wie die Befolgung gesetzlicher Vorgaben. Vor allem gilt das für Standards, die sich in einer Branche durch­gesetzt haben und hier eine grundlegende Voraussetzung für die Ge­schäfts­tätigkeit darstellen.

Bei­spiele für unternehmensinterne Regelungen aus dem IT-Bereich sind in­terne Richtlinien oder Verfahrensvorgaben zur IT-Sicherheit. Beispiele sind IT-Sicher­heits­vor­schriften, E-Mail-Richtlinien oder Regelungen zum Umgang mit Pass­wörtern. Aber auch zwischen der IT-Abteilung und den Fach­ab­tei­lun­gen vereinbarte Service-Level-Agreements zählen zu dieser Gruppe.

Interne Regelwerke sind für die Compliance aus zweierlei Hinsicht relevant: Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anfor­de­run­gen aller anderen Re­gelwerke sicherzustellen, indem sie konkrete Hand­lungs­an­weisungen für die Mitarbeiter vorgeben. Hierdurch dokumen­tieren sie zum anderen nach außen, dass ins­be­sondere rechtlichen Vorgaben nachgekommen wird.

IT-Com­pliance soll ein Unternehmen vor allem vor wirtschaftlichen Nach­teilen als Folge von Rechts­ver­letzungen bewahren. Vermieden werden sollen Schadens­er­satz­pflichten, Stra­fen, Buß- und Zwangs­gelder, aber auch erhöhte Steu­er­zahlungen nach Schätzungen des Finanzamts. So kann ein Schaden entstehen, wenn ein Unter­nehmen im Rahmen einer ge­richt­lichen Auseinandersetzung wichtige Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nach­kommen kann.

Zusätzlich zu mone­tären Schäden ist ein poten­ziel­ler Image­schaden von Bedeutung. Dieser kann sich leicht ein­stellen, wenn etwa gegen Daten­schutz­normen verstoßen wird oder Kunden­daten miss­braucht werden. Die Folgen können nega­tive Publicity, Nach­teile bei der Vergabe öffentlicher Auf­träge oder Kun­den­ab­wan­derungen sein.

Neben dieser Schutzfunktion, die auf die Ver­mei­dung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden.

Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höhe­ren Qualität von IT-Prozessen bei, insbesondere durch eine höhere Transparenz. Diese führt zu einer verbesserten Steue­rungsfähigkeit, aber auch Auditierbarkeit der IT.

Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Be­triebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicher­heitsziele der Vertraulichkeit, Verfüg­barkeit und Integrität. Hieraus resul­tieren Nutzenpotenziale für die IT-Sicher­heit. Glei­ches gilt für das IT-Risiko­manage­ment.

Kosteneinsparungen resultieren unter anderem aus der Automatisierung manueller Arbeitsabläufe, geringeren Kosten in der IT-Administration und -Wartung oder bei der Durchführung von Prüfungshandlungen.

Wenn die IT-Abteilung ihre Compliance nach­wei­sen kann, führt dies zu einer Erhöhung des Unter­nehmens­wertes. Erweisen sich be­stimmte Standards als Markteintrittsbarrieren, ist der Wert­bei­trag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Um­satz­chan­­cen nicht genutzt werden. Andererseits kann mangelnde IT-Com­pliance zu Ab­­schlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmens­trans­aktionen führen, wenn sich während einer Due-Dilli­gence-Prüfung Risiken bei der IT-Compliance zeigen.

Durch die Fülle von Rechtsnormen und Regelwerken sowie die heu­te fast durch­gängige IT-Unterstützung aller Unternehmensprozesse sind Compliance-Anfor­derun­gen nicht mehr lediglich auf steuerliche oder daten­schutzrechtliche Belange be­grenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens „compliant“ mit ver­schie­densten Rege­lungen sein muss. Hierzu ist es notwendig, einen Überblick über die rele­vanten Compliance-Anforderungen zu gewinnen:

• Die Identifizie­rung von Compliance-relevanten Regelwerken sowie die Ab­leitung und Doku­men­ta­tion der Compliance-Anforderungen, die das Unter­nehmen mit gegebenenfalls unter­schied­licher Priorität ein­halten muss. Sie bilden den ersten und wich­tigsten Auf­gaben­bereich eines IT-Com­pliance-Prozesses.
• Die Schaffung einer betrieblichen Organisation von Prozessen, Verfah­rens­rege­lungen, Delegationen und möglichst weitgehend automa­ti­sier­ten Kontrollen zur Über­wachung der Einhaltung aller Anforderungen der IT-Compliance.
• Die Information aller im Hinblick auf die be­ste­hen­den Ver­pflichtungen handelnden Betriebsangehörigen und gegebenfalls ent­spre­chend ein­gesetzter Dritter über die einzuhaltenden Regelungen.
• Die Dokumentation der Information und Organisation sowie deren Überwachung.
• Die Einrichtung eines Change Managements zur Reaktion auf neue Ent­wicklungen der Anforderungen.