ComplianceDefinition und Nutzen von IT-Compliance
Viele Unternehmen beklagen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen, Verordnungen und Normen. Sie laufen Gefahr, aus Unkenntnis darüber gegen Regeln zu verstoßen. Dies zu vermeiden, ist Ziel der so genannten Corporate Compliance, auf die IT bezogen der IT-Compliance.
Compliance
Compliance bedeutet, dass ein Unternehmen in seiner Geschäftstätigkeit bestimmte relevante Vorgaben befolgt. Das können Gesetze, sonstige Rechtsnormen, Verträge oder auch interne und externe Regelwerke sein. Neben dem Begriff der Befolgung werden auch die Begriffe Übereinstimmung, Einhaltung, Konformität, Erfüllung oder Entsprechung verwendet. Welche Vorgaben relevant sind, wird einerseits extern vorgegeben, andererseits selbst gewählt.
Was bedeutet IT-Compliance?
IT-Compliance bedeutet, dass alle für die IT des Unternehmens relevanten Vorgaben nachweislich eingehalten werden. Hierbei ist es unerheblich, ob die IT-Leistungen ausschließlich unternehmensintern oder durch externe IT-Dienstleister – zum Beispiel im Rahmen von Entwicklungs-, Hosting- oder Outsourcing-Verträgen – erbracht werden.
Eine weitere Sichtweise versteht IT-Compliance als Einsatz von Software- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken sichergestellt werden kann. In diesem Sinne handelt es sich um IT-gestützte Compliance. IT-Compliance betrachtet die IT als Träger von Compliance-Anforderungen. Bei dieser Sichtweise stellen sich folgende Fragen:
- Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
- Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anforderungen müssen sie erfüllen?
- Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter IT-Compliance?
- Welche Compliance-Anforderungen müssen die einzelnen IT-Bereiche (Infrastruktur, Datenhaltung, Betrieb, Prozesse) erfüllen?
- Welche technischen, organisatorischen und personellen Maßnahmen müssen für die Gewährleistung von IT-Compliance ergriffen werden?
Neben Gesetzen müssen Unternehmen auch weitere Vorgaben aus unterschiedlichen Regelwerken beachten. Diese erstrecken sich auf Verträge, die die rechtlichen Vorgaben ergänzen, sowie auf unternehmensinterne und unternehmensexterne Regelwerke.
DIN-Normen und ISO-Normen als externe Regelwerke
Die unternehmensexternen Regelwerke beinhalten vor allem DIN-Normen und ISO-Normen und Standards. In Bezug auf die IT können das zum Beispiel ITIL (IT Infrastructure Library) oder COBIT (Control Objectives for Information and Related Technology) sein. Diese können für ein Unternehmen genauso von existenzieller Bedeutung sein wie die Befolgung gesetzlicher Vorgaben. Vor allem gilt das für Standards, die sich in einer Branche durchgesetzt haben und hier eine grundlegende Voraussetzung für die Geschäftstätigkeit darstellen.
Richtlinien und Vorgaben als interne Regelwerke
Beispiele für unternehmensinterne Regelungen aus dem IT-Bereich sind interne Richtlinien oder Verfahrensvorgaben zur IT-Sicherheit. Beispiele sind IT-Sicherheitsvorschriften, E-Mail-Richtlinien oder Regelungen zum Umgang mit Passwörtern. Aber auch zwischen der IT-Abteilung und den Fachabteilungen vereinbarte Service-Level-Agreements zählen zu dieser Gruppe.
Interne Regelwerke sind für die Compliance aus zweierlei Hinsicht relevant: Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anforderungen aller anderen Regelwerke sicherzustellen, indem sie konkrete Handlungsanweisungen für die Mitarbeiter vorgeben. Hierdurch dokumentieren sie zum anderen nach außen, dass insbesondere rechtlichen Vorgaben nachgekommen wird.

Nutzen von IT-Compliance
IT-Compliance soll ein Unternehmen vor allem vor wirtschaftlichen Nachteilen als Folge von Rechtsverletzungen bewahren. Vermieden werden sollen Schadensersatzpflichten, Strafen, Buß- und Zwangsgelder, aber auch erhöhte Steuerzahlungen nach Schätzungen des Finanzamts. So kann ein Schaden entstehen, wenn ein Unternehmen im Rahmen einer gerichtlichen Auseinandersetzung wichtige Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nachkommen kann.
Zusätzlich zu monetären Schäden ist ein potenzieller Imageschaden von Bedeutung. Dieser kann sich leicht einstellen, wenn etwa gegen Datenschutznormen verstoßen wird oder Kundendaten missbraucht werden. Die Folgen können negative Publicity, Nachteile bei der Vergabe öffentlicher Aufträge oder Kundenabwanderungen sein.
Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden.
Höhere Qualität von IT-Prozessen
Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höheren Qualität von IT-Prozessen bei, insbesondere durch eine höhere Transparenz. Diese führt zu einer verbesserten Steuerungsfähigkeit, aber auch Auditierbarkeit der IT.
Höhere IT-Sicherheit
Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Betriebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicherheitsziele der Vertraulichkeit, Verfügbarkeit und Integrität. Hieraus resultieren Nutzenpotenziale für die IT-Sicherheit. Gleiches gilt für das IT-Risikomanagement.
Kostenersparnis
Kosteneinsparungen resultieren unter anderem aus der Automatisierung manueller Arbeitsabläufe, geringeren Kosten in der IT-Administration und -Wartung oder bei der Durchführung von Prüfungshandlungen.
Erhöhung des Unternehmenswertes
Wenn die IT-Abteilung ihre Compliance nachweisen kann, führt dies zu einer Erhöhung des Unternehmenswertes. Erweisen sich bestimmte Standards als Markteintrittsbarrieren, ist der Wertbeitrag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Umsatzchancen nicht genutzt werden. Andererseits kann mangelnde IT-Compliance zu Abschlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmenstransaktionen führen, wenn sich während einer Due-Dilligence-Prüfung Risiken bei der IT-Compliance zeigen.
Überblick über die Compliance-Anforderungen gewinnen
Durch die Fülle von Rechtsnormen und Regelwerken sowie die heute fast durchgängige IT-Unterstützung aller Unternehmensprozesse sind Compliance-Anforderungen nicht mehr lediglich auf steuerliche oder datenschutzrechtliche Belange begrenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens „compliant“ mit verschiedensten Regelungen sein muss. Hierzu ist es notwendig, einen Überblick über die relevanten Compliance-Anforderungen zu gewinnen:
- Die Identifizierung von Compliance-relevanten Regelwerken sowie die Ableitung und Dokumentation der Compliance-Anforderungen, die das Unternehmen mit gegebenenfalls unterschiedlicher Priorität einhalten muss. Sie bilden den ersten und wichtigsten Aufgabenbereich eines IT-Compliance-Prozesses.
- Die Schaffung einer betrieblichen Organisation von Prozessen, Verfahrensregelungen, Delegationen und möglichst weitgehend automatisierten Kontrollen zur Überwachung der Einhaltung aller Anforderungen der IT-Compliance.
- Die Information aller im Hinblick auf die bestehenden Verpflichtungen handelnden Betriebsangehörigen und gegebenfalls entsprechend eingesetzter Dritter über die einzuhaltenden Regelungen.
- Die Dokumentation der Information und Organisation sowie deren Überwachung.
- Die Einrichtung eines Change Managements zur Reaktion auf neue Entwicklungen der Anforderungen.