Ein Überblick Michael Klotz - dpunkt Verlag
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Michael Klotz
Ein Überblick
dpunkt.verlag
Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT – Stralsund Information Management Team Fachbereich Wirtschaft Zur Schwedenschanze 15 18435 Stralsund michael.klotz@fh-stralsund.de www.simat.fh-stralsund.de 1. Auflage 2009 Lektorat: Vanessa Wittmer Copy Editing: Ursula Zimpfer, Herrenberg Satz und Herstellung: Frank Heidt Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck: WÖRMANN & PARTNER, Heidelberg Artikel-Nr.: 077.95730 Copyright © 2009 dpunkt.verlag GmbH Ringstraße 19 b 69115 Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehal- ten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware- Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrol- liert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen. 543210
Michael Klotz IT-Compliance Ein Überblick
2 Einleitung
Einleitung
Wegen Verstoßes gegen das Bundesdatenschutzgesetz werden Bußgelder
in Millionenhöhe verhängt, Vorständen wird wegen eines mangelhaften
Risikofrüherkennungssystems die Entlastung verweigert oder sie müssen
wegen Pannen bei problematischen Finanztransaktionen ihren Posten
räumen. Immer wieder wird von verlorenen oder gestohlenen Daten be-
richtet. Zudem halten Bespitzelungsskandale Vorstände und Aufsichtsrä-
te, aber natürlich auch die Betroffenen und die gesamte Öffentlichkeit in
Atem. Mit der viel beschworenen verantwortungsvollen Unternehmens-
führung scheint es immer häufiger nicht gut bestellt zu sein. So wundert
es nicht, dass (mangelhafte) Compliance derzeit nicht nur Tagungsthema
und Gegenstand von Fachpublikationen ist, sondern sogar den Weg in
die Tagespresse findet.
Wie kommt es dazu? Als Ursache dieser Entwicklung beklagen viele
Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen,
Verordnungen, Normen, Standards usw. Für Unternehmen aller Größen-
ordnungen bedeutet dies wachsende Risiken aus potenziellen Regelver-
stößen – die sich schon deswegen ergeben können, weil es eben mittler-
weile kaum noch möglich ist, den Überblick zu behalten. Die Vermeidung
derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben
ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der
IT-Compliance. So stellt sich die Frage: Was ist zu tun, um Compliance
zu erreichen? Die Antwort muss jedes Unternehmen selbst finden.
Die Broschüre hilft dabei, ein klares Verständnis für IT-Compliance
zu erlangen und das Thema hinsichtlich anderer Konzepte (Governance,
Sicherheits- und Risikomanagement) zu verorten. Dies ist die notwendige
Grundlage, um Umfang und Nutzen von IT-Compliance zu diskutieren,
an IT-Compliance Beteiligte zu identifizieren und ein Managementsystem
für IT-Compliance einzurichten.
Michael Klotz
Stralsund, Februar 2009
IT-Compliance im Unternehmen 3
IT-Compliance im Unternehmen
Compliance-Begriff
Schon die Bedeutung von »Compliance« ist nicht leicht zu fassen, da
der Begriff der angelsächsischen Rechtsterminologie entstammt (vgl.
[Hauschka 2007, S. 2]) und insofern erst in deutsche Wissenschaftsdis-
ziplinen, Fachdiskussionen und wirtschaftliche Handlungsbereiche ein-
geordnet werden muss. Ohne eine derartige, systematische Einordnung
droht eine »Aufladung« des Compliance-Begriffs mit vorschnellen Iden-
tifizierungen und beliebigen Bezügen zur Unternehmenswirklichkeit.
In einem allgemeinen, grundlegenden Verständnis ist ein Unterneh-
men »compliant«, wenn es in seiner Geschäftstätigkeit bestimmte rele-
vante Vorgaben befolgt. Neben »Befolgung« werden auch die Begriffe
»Übereinstimmung«, »Einhaltung«, »Konformität«, »Erfüllung« oder
»Entsprechung« verwendet. Welche Vorgaben relevant sind, ist einerseits
unternehmensextern vorgegeben, andererseits selbst gewählt. Dement-
sprechend lässt sich der Compliance-Begriff wie folgt fassen:
Compliance liegt vor, wenn alle für das Unternehmen verbindlich
vorgegebenen bzw. als verbindlich akzeptierten Vorgaben nachweislich
eingehalten werden.
Eine besondere Bedeutung kommt hierbei der nicht nur potenziellen, son-
dern auch faktischen Nachweisbarkeit zu. Diese ist notwendig, um sich
im Verdachts- und Streitfall exkulpieren zu können.
Beispiel 1:
Das Landgericht München I hat in seinem Urteil vom 5. April 2007 den Haupt-
versammlungsbeschluss zur Entlastung des Vorstands für nichtig erklärt. Bei dem
betreffenden Großhandelsunternehmen mangelte es an einer hinreichenden
Dokumentation des Risikofrüherkennungssystems. Diese Dokumentation sah das
Gericht als eine zentrale Aufgabe des Vorstandes an und stufte die unterbliebene
Dokumentation als wesentlichen Verstoß gegen § 91 Abs. 2 AktG ein (nach
[LG München I 2007]).
4 IT-Compliance im Unternehmen
Dokumentationspflichten sind zudem auch ohne explizite Regelung
erforderlich, um den zentralen Managementanforderungen der Transpa-
renz und Kontrolle zu genügen (vgl. [Klotz & Dorn 2008, S. 8]).
Sofern die Vorgaben aus Gesetzen stammen, bedeutet dies, dass sich
Unternehmen an geltendes Recht zu halten haben – was eigentlich eine
Selbstverständlichkeit sein sollte. Neben Gesetzen, oder besser Rechts-
normen, hat ein Unternehmen jedoch auch weitere Vorgaben aus unter-
schiedlichen Regelwerken zu beachten (s. Abb. 1). Diese erstrecken sich
auf Verträge, die die Gruppe der rechtlichen Vorgaben ergänzen, sowie
auf unternehmensinterne und -externe Regelwerke. Die unternehmensex-
ternen Regelwerke beinhalten vor allem Normen und Standards, die für
ein Unternehmen genauso von existenzieller Bedeutung sein können wie
die Befolgung gesetzlicher Vorgaben. Dies gilt vor allem für Standards,
die sich in einer Branche durchgesetzt haben und hier somit eine grundle-
gende Voraussetzung für die Geschäftstätigkeit darstellen.
Unternehmensinterne Regelwerke Unternehmensexterne Regelwerke
Richtlinien Rechtliche Vorgaben Kodizes
Hausstandards Gesetze und Rechtsverordnungen Normen
Verfahrens- Rechtsprechung Branchen-
anweisungen standards
Verwaltungsvorschriften
Service Level Verbands-
Referenzierte Regelwerke
Agreements standards
... Verträge ...
Abb. 1 Quellen von Compliance-Vorgaben
Aktualität von Compliance
Bezüglich der aktuellen Relevanz der Compliance-Thematik ist auf zahl-
reiche Beispiele der jüngsten Vergangenheit zu verweisen, in denen sich
Unternehmen nicht an (vor allem gesetzliche) Vorgaben gehalten haben
und damit eben »nicht compliant« waren. Tabelle 1 nennt einige Fälle,
die in 2008 eine größere Publizität erlangt haben.
IT-Compliance im Unternehmen 5
Institution Fall
Lidl Überwachung der Mitarbeiter durch Detekteien per Video; Lidl
wird zu einer Gesamtstrafe in Höhe von 1,462 Mio. € verurteilt
Deutsche Ausspionieren von Journalisten, Telekom-Aufsichtsräten und
Telekom eigenen Mitarbeitern
KfW Überweisung von 300 Mio. € aus einem Termingeschäft an die
US-Investmentbank Lehman Brothers, die am gleichen Tage
einen Insolvenzantrag stellte
Einwohner- Daten von Bürgern aus rund 200 Städten und Gemeinden waren
meldeämter über Jahre hinweg frei im Internet zugänglich
T-Mobile Datendiebstahl von über 17 Mio. Mobilfunkkunden (bereits 2006
Deutschland erfolgt, aber erst 2008 bekanntgegeben)
Tab. 1 Compliance-relevante Vorfälle im Jahr 2008
In den ausgewählten Fällen spielt die Nutzung von Daten und Informa-
tionstechnologie (IT) eine zentrale Rolle. Bei den beiden erstgenannten
Beispielen ist mit dem vorsätzlichen Missbrauch personenbezogener Da-
ten ein Verstoß gegen gesetzliche Regelungen offensichtlich. Im Fall der
Kreditanstalt für Wiederaufbau (KfW) führten ungenügende Kontroll-
prozesse zur Ausführung der Überweisung und dem damit verbundenen
Schaden. Hier ergeben sich zumindest Vorwürfe hinsichtlich einer man-
gelnden Effektivität des operativen Risikomanagements. In den beiden
letztgenannten Fällen mangelte es offenbar an effektiven Maßnahmen
des Zugriffsschutzes und an entsprechenden Kontrollen, wie sie sowohl
von gesetzlichen Regelungen als auch von Normen und Standards des
IT-Sicherheitsmanagements gefordert werden.
Vor allem in den Fällen von Gesetzesverletzungen ist davon auszu-
gehen, dass die betroffenen Unternehmen neben Schadensersatzzah-
lungen und gesetzlich vorgesehenen Strafen in der Öffentlichkeit eine
Schädigung ihrer Reputation, verbunden mit Vertrauensverlust und Kun-
denbindung, erlitten haben. Dies soll jedoch nicht heißen, dass die man-
gelnde Befolgung der sonstigen Regelwerke von geringerer Bedeutung
ist. Verträge sehen bei Verletzung vertraglicher Vereinbarungen mitunter
empfindliche Strafzahlungen vor. Der Verlust von Zertifikaten als Folge
6 IT-Compliance im Unternehmen
mangelnder Konformität mit am Markt üblichen Standards kann Nach-
teile bei der Auftragsgewinnung nach sich ziehen. Und die mangelnde Be-
folgung unternehmensinterner Regelungen führt wiederum zum Verstoß
gegen externe Vorgaben, aber auch zu internen Ineffizienzen, Kontroll-
verlust und operationellen Risiken.
Diese Beispiele zeigen, dass die im Unternehmen eingesetzte Informa-
tionstechnik eine wesentliche Rolle in der Compliance-Thematik spielt.
Gleiches gilt für die IT-Abteilung, die den Einsatz der Informationstech-
nik zur Unterstützung der Unternehmensprozesse verantwortet. Damit
steht »IT-Compliance« als Teilbereich des IT-Managements zur Debatte.
Wie prägt sich dieser Teilbereich der Compliance aus?
IT-Compliance
Als Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet
IT-Compliance einen Zustand, in dem alle für die IT des Unternehmens
relevanten Vorgaben nachweislich eingehalten werden. Hierbei ist es un-
erheblich, ob die IT-Leistungen ausschließlich unternehmensintern oder
(teilweise) durch externe IT-Dienstleister (im Rahmen von Entwicklungs-,
Hosting-, Outsourcing-Verträgen o.Ä.) erbracht werden.
Eine weitere Sichtweise versteht IT-Compliance als Einsatz von Soft-
und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regel-
werken sichergestellt werden kann. In diesem Sinne handelt es sich um
»IT-gestützte Corporate Compliance« [Teubner & Feller 2008, S. 401].
Diese Interpretation wird vor allem von Herstellern vertreten, die Lösun-
gen für Security- oder Content-Management, Archivierung, Verschlüs-
selung, Nutzer-, Zugangs- und Lizenzverwaltung u.a.m. anbieten. Aber
auch auf Unternehmensseite wird dieser Sicht gerne gefolgt, belegt doch
der Einsatz derartiger Systeme das Bemühen um Compliance. Dass die-
se Perspektive ihre Berechtigung hat, soll nicht im Geringsten bezweifelt
werden. Im Gegenteil: Ohne die genannten Lösungen sind die zahlreichen
Compliance-Anforderungen nicht in den Griff zu bekommen. Aus diesem
Grunde ist es sinnvoll, sich die grundlegenden Unterschiede zwischen den
beiden Interpretationsmöglichkeiten zu verdeutlichen (s. Abb. 2).
IT-Compliance im Unternehmen 7
IT-Compliance IT-gestützte Compliance
Träger von Mittel zur Erfüllung von
Die IT ist ...
Compliance-Anforderungen Compliance-Anforderungen
»Compliance von IT« »Compliance mit IT«
Abb. 2 IT-Compliance vs. IT-gestützte Compliance
IT-Compliance betrachtet die IT als Träger von Compliance-Anforde-
rungen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen
(nach [Klotz & Dorn 2008, S. 9 f.]):
■ Welche Rechtsnormen und ggf. sonstigen Regelwerke sind für die
IT des Unternehmens relevant?
■ Welche IT-gestützten Prozesse und Anwendungen sind betroffen
und welche Anforderungen sind von ihnen zu erfüllen?
■ Welche Risiken resultieren in welcher Höhe aus fehlender oder
mangelhafter Compliance der IT?
■ Welche Compliance-Anforderungen haben die einzelnen Bereiche der
IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?
■ Welche technischen, organisatorischen und personellen Maßnah-
men sind für die Gewährleistung von IT-Compliance zu ergreifen?
IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von
Compliance genutzt wird. Bei dieser Sichtweise stellen sich beispielsweise
folgende Fragen:
■ Welche Compliance-Anforderungen haben die Geschäftsprozesse
zu erfüllen?
■ Welche Compliance-Anforderungen kann eine spezifische Hard-
oder Software adressieren?
■ Welche Hard- oder Softwarelösung ist für die Erfüllung der
Compliance-Anforderungen am besten geeignet?
■ Wie sind die verfügbaren Compliance-Tools aufeinander abzu-
stimmen?
Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und
insofern beide notwendig sind, um Compliance im Allgemeinen und
8 IT-Compliance im Unternehmen
IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch)
IT-gestützte Compliance vor. Eine auf diesem Wege geschaffene Automa-
tisierung von Compliance ist die einzige Möglichkeit, die Vielzahl heuti-
ger Compliance-Anforderungen zu erfüllen. Dies gilt insbesondere für die
kontinuierliche Überwachung des IT-Betriebs auf Compliance-Verstöße.
Beispiel 2:
Das Bundesdatenschutzgesetz (BDSG) richtet spezifische Anforderungen an die
Haltung personenbezogener Daten. Zum Schutz dieser Daten sind nach § 9 BDSG
und der zugehörigen Anlage 1 zahlreiche Kontrollen zu implementieren (z.B. Zu-
tritts-, Zugriffs- oder Verfügbarkeitskontrollen). Um diese Vorgabe zu er füllen,
sind zuerst organisatorische und personelle Maßnahmen zu ergreifen, z.B. die
Durchführung von Risiko- und Schutzbedarfsanalysen, die Festlegung von Zugriffs-
berechtigungen, die Planung und Durchführung von Schulungsmaßnahmen, die
Regelung von Zutritts- und Zugangsrechten, das Erlassen von Vorschriften für die
Verarbeitung von personenbezogenen Daten und die Verpflichtung der Mitarbei-
ter auf diese Vorschriften. Zu einem Großteil führen diese Maßnahmen letztlich
zu technischen Lösungen, z.B. einer automatisierten, funktionsbasierten Zugriffs-
steuerung, einer systemgesteuerten Passwortvergabe oder einer automatischen
Datensicherung (nach [Neundorf 2007, S. 609 ff.]).
Bezug zu Governance und Risikomanagement
Vor dem Hintergrund spektakulärer Betrugsfälle und Bilanzmanipula-
tionen (beispielsweise Worldcom und Enron in den USA, Flowtex und
Balsam in Deutschland) steht der Begriff »Corporate Governance« seit
nunmehr ca. 15 Jahren für die Diskussion um eine ordnungsgemäße Un-
ternehmensführung. Von zentraler Bedeutung für die betriebliche Überwa-
chung und Kontrolle ist das 1998 in Kraft getretene »Gesetz zur Kontrolle
und Transparenz im Unternehmensbereich« (KonTraG). Dieses hatte u.a.
die Regelung des § 91 Abs. 2 AktG zur Folge, wonach der Vorstand ver-
pflichtet ist, »geeignete Maßnahmen zu treffen, insbesondere ein Überwa-
chungssystem einzurichten, damit den Fortbestand der Gesellschaft ge-
fährdende Entwicklungen früh erkannt werden«. Ähnlich werden häufig
die aus der Section 404 des im Juli 2002 in den USA in Kraft gesetzten
»Sarbanes-Oxley Act« (SOX) resultierenden Verpflichtungen zur Einrich-
tung eines internen Kontrollsystems (IKS) angeführt. In Deutschland sind
allerdings nur diejenigen (wenigen) Unternehmen von SOX betroffen, dieIT-Compliance im Unternehmen 9
selbst oder indirekt als Tochtergesellschaft ausländischer Unternehmen
an US-amerikanischen Börsen gelistet sind. Ähnliche Pflichten hinsicht-
lich der Gestaltung interner Kontroll- und Risikomanagementsysteme
ergeben sich künftig für einen erweiterten Unternehmenskreis aus dem
Bilanzrechtsmodernisierungsgesetz (BilMoG).
KonTraG, SOX, BilMoG und weitere Gesetze, aber vor allem auch
branchenspezifische Vorgaben führen in den betroffenen Unternehmen
zur Einrichtung von Risikomanagementsystemen, mit deren Hilfe Risi-
ken effektiv und effizient identifiziert, bewertet und gesteuert werden sol-
len. In diesem Zusammenhang sind potenzielle Regelverstöße, insbeson-
dere Gesetzesverstöße durch Mitarbeiter oder Organe, als Betriebsrisiken
des Unternehmens anzusehen.
Governance, Risikomanagement und Compliance verweisen somit
aufeinander. Aufgrund der inhaltlichen Zusammenhänge wird neuer-
dings von der Trias »Governance-Risk-Compliance« (GRC) gesprochen,
die eine integrierte Strategie und ein gemeinsames Management erfor-
dert. Dieser allgemeine GRC-Zusammenhang ergibt sich nun auch für
die IT. Ein IT-Risikomanagement richtet sich speziell auf die IT-Risiken
des Unternehmens. Als Schnittmenge von IT-Risiken einerseits und von
mit Regelverstößen verbundenen Risiken, d.h. Compliance-Risiken, an-
dererseits ergeben sich die IT-Compliance-Risiken (s. Abb. 3).
Risiken
Risiken aus IT-Compliance- IT-Risiken
Regelverstößen Risiken
Abb. 3 IT-Compliance-Risiken als Schnittmenge
In einer derartigen risikoorientierten Sichtweise adressiert IT-Com-
pliance IT-Risiken, die dadurch entstehen, dass die IT nicht wie geplant
funktioniert, schlecht organisiert ist, nicht wie erforderlich betrieben und
genutzt wird, unzureichend verfügbar oder ungenügend gesichert ist,
manipuliert oder missbraucht werden kann usw., sodass hierdurch vor
allem gesetzliche Vorgaben (potenziell) nicht oder nur mangelhaft erfüllt
werden.10 IT-Compliance im Unternehmen
Regelwerke der Corporate Governance können heute häufig nur noch
erfüllt werden, wenn entsprechende IT-Maßnahmen ergriffen werden. Vor
allem hinsichtlich der Finanzberichterstattung muss die Ordnungsmäßig-
keit sowohl der Entwicklung als auch des Betriebs von IT-Anwendungen
nachgewiesen werden können (nach [Johannsen & Goeken 2007, S. 15]).
Corporate Governance zieht somit eine spezialisierte IT-Governance nach
sich. Diese richtet sich auf die Regelung von Verantwortlichkeiten und
Entscheidungsrechten sowie entsprechende Prozesse und Verfahren mit
dem Ziel, aus der IT-Nutzung einen maximalen Wertbeitrag für das Un-
ternehmen zu ziehen (vgl. z.B. [Weill & Woodham 2002, S. 1], [Meyer
et al. 2003, S. 445]). Hierzu gehört auch die Einrichtung eines IT-Kon-
trollsystems (als Bestandteil des IKS), mit dem die Steuerung und Überwa-
chung der IT im Unternehmen sichergestellt werden soll. Für die Ausge-
staltung des IT-Kontrollsystems liegen wiederum einschlägige Standards
vor, die insofern Gegenstand der IT-Compliance sind, z.B. Standards und
Stellungnahmen des Instituts der Wirtschaftsprüfer (IDW).
Beispiel 3:
Die AXA Konzern AG unterliegt als Tochtergesellschaft der an der New York
Stock Exchange (NYSE) notierten Pariser Muttergesellschaft den Regelungen
des »Sarbanes-Oxley Act«. IT-Risiken wurden im Rahmen eines Projektes zur
Einführung eines IKS für die Cash- und Jahresabschlussprozesse bei der Da-
tenaufbereitung und -haltung sowie der manuellen Eingabe und Weiterleitung
von Daten gesehen. Hinsichtlich der SOX-Anforderungen wurde die Heterogeni-
tät der Systemlandschaft insgesamt als problematisch beurteilt. Compliance-Risi-
ken ergaben sich aufgrund der zahlreichen Schnittstellen bei der Pflege und der
Datenübertragung zwischen den verschiedenen Anwendungssystemen, da hier-
durch die Zuverlässigkeit der Kontrollen des IKS nicht beurteilt werden konnte
(nach [Michels & Krzeminska 2006, S. 141ff.]).
Im Ergebnis erfährt die GRC-Trias eine Spezialisierung im IT-Bereich,
was zu vielfältigen Koordinationsnotwendigkeiten führt. So muss sich
jede Spezialisierung in den jeweiligen generellen Bereich eingliedern, also
z.B. die IT-Compliance in die generellen Compliance-Aktivitäten des
Unternehmens, aber auch mit den anderen Spezialisierungen abgestimmt
werden, beispielsweise IT-Compliance mit IT-Governance und IT-Risiko-
management (vgl. Abb. 4).IT-Compliance im Unternehmen 11
GRC
Risk-
Governance management
IT-Risiko-
IT-
manage-
Governance IT-G IT-RM
ment
IT- IT-C
Compliance
Compliance
Abb. 4 Bezüge der IT-Compliance
Organisatorischer Geltungsbereich
Der organisatorische Geltungsbereich von IT-Compliance hängt davon
ab, welche Aufgaben die IT als Unternehmensfunktion konkret über-
nimmt. Die von der IT zu beachtenden Regelwerke differieren nämlich,
je nachdem, ob die IT des Unternehmens nur mit abgegrenzten speziellen
Aufgaben, z.B. der Buchführung, befasst ist oder die gesamte Geschäfts-
tätigkeit des Unternehmens umfassend unterstützt. Im Kern wird sich der
organisatorische Geltungsbereich auf folgende Gebiete erstrecken:
■ Rechnungswesen (intern/extern)
■ Steuern
■ Personalwesen
■ Vertrieb und Kundenbetreuung
■ Internetpräsenz und elektronische Kommunikation
■ Archivierung und Dokumentenmanagement
■ IT-Beschaffung sowie Betreuung von Software und Hardware
■ Datenschutz
Dieser Umfang zeigt deutlich, dass nicht nur Großunternehmen, sondern
auch mittelständische und sogar kleine Unternehmen von IT-Compliance
betroffen sind. Drei der oben genannten Bereiche sollen dies verdeutlichen.12 IT-Compliance im Unternehmen Beispiel 4: Steuern: Nach § 147 Abs. 6 AO muss ein Unternehmen bei der IT-gestützten Er- stellung steuerlich relevanter Aufzeichnungen nicht nur die »Einsicht« in diese Daten ermöglichen, sondern nach Vorgabe des Betriebsprüfers auch die Daten entweder selbst auswerten oder den Finanzbehörden auf einem Datenträger zur Verfügung stellen. Folglich muss die IT dem Betriebsprüfer bei einer Außenprü- fung einen sinnvollerweise auf die relevanten Daten eingeschränkten Zugang zur Ver fügung stellen bzw. eine Konvertierung der Daten in ein für das Finanzamt lesbares Format vornehmen und diese Daten zwecks Übergabe auf einen Daten- träger übertragen. Elektronische Kommunikation: Kaum ein Unternehmen verzichtet heute auf die Nutzung von E-Mails. Die geschäftliche E-Mail-Kommunikation ist jedoch Com- pliance-relevant, da im Rahmen der Impressumspflicht Angaben zur Firmierung, Rechtsform und Vertretung erforderlich sind (z.B. nach § 37 a HGB). Archivierung und Dokumentenmanagement: Unternehmen sind zur Auf- bewahrung und Wiedergabe erhaltener und versendeter Handelsbriefe (nach § 257 Abs. 2 HGB alle Schriftstücke, die ein Handelsgeschäft betreffen) verpflichtet. Die Aufbewahrung kann auf Datenträgern erfolgen, die verfügbar und jederzeit lesbar sein müssen (§§ 238 Abs. 2, 257 HGB). Wird die Geschäftskorrespondenz auf Datenträgern archiviert, muss die IT deren geordnete Ablage und Auffindbarkeit ebenso wie die Lesbarkeit auch in Zukunft und auch im Falle von Software- wechseln sicherstellen.
Beteiligte und Interessenlagen 13
Beteiligte und Interessenlagen
Der Kreis der grundsätzlich an der Herstellung von IT-Compliance be-
teiligten Personen und Gruppen erweist sich als durchaus umfangreich.
Auch wenn in der fachlichen Diskussion oftmals ein »Compliance Of-
ficer« im Mittelpunkt steht, hat die aufbauorganisatorische Gestaltung
alle Beteiligten einzubeziehen (s. Abb. 5) und ihre Aufgaben- und Verant-
wortungsteilung in Bezug auf IT-Compliance zu regeln.
Die Hauptverantwortung für IT-Compliance kommt der Unter-
nehmensleitung zu. Dies ergibt sich aus expliziten gesetzlichen Vorgaben
sowie generellen Sorgfaltspflichten der Unternehmensorgane (zwecks
Vermeidung eines Organisationsverschuldens).
IT-Abteilung Fach- Rechts- Datenschutz-
abteilungen abteilung beauftragter
IT- IT-Risiko-
Sicherheits- management
management
Unternehmensleitung
IT-Vertrags- ext.
management Wirtschafts-
prüfer
Controlling Einkauf Geschäftsprozess- IT-Revision
management
Abb. 5 An IT-Compliance beteiligte Gruppen und Funktionen
Vor allem das KonTraG hat mit der persönlichen Inanspruchnahme von
Vorstandsmitgliedern dafür gesorgt, dass Compliance heute die Auf-
merksamkeit der Unternehmensleitung erlangt. So drohen bei Verstößen
gegen Compliance-Anforderungen die Verweigerung der Entlastung
(s. Beispiel 1), eine Abberufung, eine außerordentliche fristlose Kündi-
gung oder gar eine persönliche Haftung.
Die Unternehmensleitung muss zur Wahrnehmung ihrer Compliance-
Verantwortung konzeptionelle und operative Aufgaben und die hierfür
erforderlichen Befugnisse delegieren. Der Kreis der hierfür zur Verfügung
stehenden Funktionsträger hängt von der Unternehmensgröße, der Gesell-
schaftsform und der Branchenzugehörigkeit ab. In jedem Falle sind aber die
IT-Abteilung und die Fachabteilungen als Hauptbeteiligte einzubeziehen.14 Beteiligte und Interessenlagen
■ Die IT-Abteilung und ihre Leitung bzw. der Chief Information
Officer (CIO) haben den Großteil an Maßnahmen zur Erfüllung
der Compliance-Anforderungen zu planen und durchzuführen,
zumindest soweit es die informations- und kommunikations-
technischen Mittel anbelangt. Hierbei sind die Entwicklung und
der Betrieb von IT-Systemen selbst an Standards (wie der Infor-
mation Technology Infrastructure Library – ITIL) auszurichten,
oder die Anforderungen aus Gesetzen (wie beispielsweise dem
BDSG) sind direkt umzusetzen. Hierzu müssen IT-Kontrollen ein-
geführt werden, entweder als prozessintegrierte Kontrollen ein-
zelner IT-Anwendungen (z.B. Eingabeprüfungen) oder als gene-
relle IT-Kontrollen, die auf die gesamte IT wirken. Beispiele für
generelle IT-Kontrollen sind Benutzerberechtigungskonzepte,
Zugriffsschutzverfahren und Change-Management-Verfahren.
■ Auch die Fachabteilungen tragen eine Verantwortung für die Er-
füllung von Compliance-Anforderungen – und zwar immer dann,
wenn organisatorische oder personelle Maßnahmen ergriffen
und entsprechende Kontrollen eingeführt werden. Vor allem die
»Awareness« für IT-Compliance, insbesondere für Datenschutz
und Datensicherheit, muss bei den IT-Nutzern in den Fachabtei-
lungen entwickelt werden.
In größeren Unternehmen ist weiterhin eine ganze Reihe von Stellen und
Funktionen potenziell mit IT-Compliance befasst.
■ Die unternehmensinterne Rechtsabteilung stellt in der Regel im
Auftrage der Unternehmensleitung die Einhaltung von rechtli-
chen Vorgaben im Unternehmen sicher. Die juristische Beurtei-
lung gesetzlicher und vertraglicher Anforderungen an die IT ist
eine Kernkompetenz der Rechtsabteilung, der somit eine wichtige
Verantwortung auch für die IT-Compliance zukommt.
■ Eine weitere Schnittstelle ergibt sich zum Geschäftsprozessma-
nagement hinsichtlich der Compliance von Geschäftsprozessen.
Soweit Stellen mit spezialisierter Prozessverantwortung einge-
richtet sind (sog. process owner), ist zu prüfen, ob und ggf. inwie-
weit ihr Verantwortungsbereich um Aspekte der IT-Compliance
zu erweitern ist.Beteiligte und Interessenlagen 15
■ Der oben beschriebene inhaltliche Zusammenhang zwischen
IT-Risikomanagement und IT-Compliance erfordert auch auf ins-
titutioneller Ebene eine Zusammenarbeit zwischen den entspre-
chenden organisatorischen Einheiten. Soweit sich das Risikoma-
nagement auf existenzgefährdende Unternehmensrisiken konzen-
triert, werden in Bezug auf die IT die Bereiche des Notfalls- und
Kontinuitätsmanagements im Vordergrund stehen. Ein weiterer
Bereich der Zusammenarbeit kann das Management von IT-Pro-
jektrisiken sein, wenn für die Unternehmensentwicklung wesent-
liche IT-Entwicklungen betroffen sind.
■ Ähnliches gilt für das IT-Sicherheitsmanagement. Zahlreiche Re-
gelwerke (bspw. BDSG, ISO 27001, ITIL) stellen Anforderungen
an die Sicherheit der IT-Systeme bzw. ihre Komponenten (z.B.
IT-Infrastruktur, IT-Anwendungen, Daten, IT-Prozesse). Viele
IT-Sicherheitslösungen können dazu beitragen, Anforderungen
der IT-Compliance zu erfüllen (wie Beispiel 2 für das BDSG zeigt).
■ Mit dem Vertragsmanagement sind in manchen Unternehmen
anstelle der Rechtsabteilung die Einkaufsabteilung oder das Con-
trolling befasst, sodass diese Stellen mitunter auch Überwachungs-
und Steuerungsaufgaben bei der Durchführung von IT-Verträgen
wahrnehmen. Falls vertraglich geregelte Leistungen im Rahmen
von IT-Projekten erbracht werden, kann das Vertragscontrolling
auch Aufgabe des IT-Projektmanagements sein.
■ Mit dem durch das Bundesdatenschutzgesetz in § 4f BDSG vor-
geschriebenen Datenschutzbeauftragten gibt es zudem eine Stelle
im Unternehmen, die bezogen auf das Gebiet des Datenschutzes
bereits eine Compliance-Funktion wahrnimmt.
■ Wenn Buchführung und Finanztransaktionen des Unternehmens
IT-gestützt erfolgen, ist die Ordnungsmäßigkeit der IT Gegenstand
sowohl der externen Jahresabschlussprüfung als auch der inter-
nen Revision. Hierzu haben beide Prüfungsinstanzen unter ande-
rem die Angemessenheit und Wirksamkeit des IT-Kontrollsystems
zu beurteilen, indem sie die Durchführung verschiedener IT-Kon-
trollen prüfen. Hierbei orientieren sie sich an entsprechenden
Standards und Normen zum Prüfwesen, zur IT-Sicherheit und
zum IT-Risikomanagement.16 Beteiligte und Interessenlagen
Neben den hier aufgeführten gibt es weitere Stellen und Funktionen, die
sich nach Branchenerfordernissen richten. Auch hier gibt es häufig Bezü-
ge zur IT-Compliance, sodass diese Stellen ebenfalls zu beteiligen sind.
Beispiel 5:
Das Wertpapierhandelsgesetz (WpHG) schreibt für Wertpapierdienstleistungsunter-
nehmen (dies sind u.a. Kredit- und Finanzdienstleistungsinstitute) in § 33 Abs. 1 WpHG
die Einrichtung einer Compliance-Funktion vor. Diese hat darauf hinzuwirken, dass die
Verpflichtungen des WpHG vom Unternehmen und seinen Mitarbeitern eingehalten
werden. Hierzu hat sie u.a. eine Überwachungsfunktion wahrzunehmen, Compliance-
Richtlinien zu entwickeln, die Compliance-Organisation weiterzuentwickeln und der
Geschäftsleitung Bericht zu erstatten (nach [IIR 2003, S. 96]).
Das Interesse der Stelleninhaber und Funktionsträger an IT-Compliance
wird sich nach dem Inhalt und dem Umfang der an sie delegierten Verant-
wortung richten. In jedem Falle steht eine persönliche Haftung infrage,
nicht nur für die Unternehmensleitung. Bei einer nicht regelkonformen
Aufgabenausführung können prinzipiell auch Mitarbeiter zur Verant-
wortung gezogen und haftbar gemacht werden. Für ausführende Mit-
arbeiter ergibt sich dies aus den Regelungen zur Arbeitnehmerhaftung
(vgl. [Bitkom 2005, S. 6]).
In vielen Unternehmen stellt sich derzeit die Herausforderung, über-
haupt erst einmal eine allgemeine Compliance-Funktion einzurichten,
in die es wiederum die Verantwortung für IT-Compliance zu integrieren
gilt. In dieser Konstellation bietet sich für die Beteiligten die Chance, den
eigenen Aufgaben- und Verantwortungsbereich zu erweitern. Mitunter
können sich so auch neue Karrierepfade eröffnen. Auf der anderen Seite
droht neue Konkurrenz um Ressourcen und Einfluss. Diese Unsicher-
heiten gilt es bei der institutionellen Verankerung von (IT-)Compliance
im Unternehmen durch eine klare Aufgaben- und Verantwortungsteilung
zu beseitigen. Diese Klärung zu initiieren und durchzusetzen, bildet die
zentrale Verantwortung der Unternehmensleitung.Nutzen von IT-Compliance 17
Nutzen von IT-Compliance
Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vor-
schriften soll IT-Compliance ein Unternehmen vor allem vor wirtschaft-
lichen Nachteilen als Folge von Rechtsverletzungen bewahren. Es sollen
insbesondere Schadensersatzpflichten, Strafen, Buß- und Zwangsgelder,
aber auch erhöhte Steuerzahlungen aufgrund von Schätzungen des Fi-
nanzamts vermieden werden. So kann beispielsweise ein Schaden entste-
hen, wenn ein Unternehmen im Rahmen einer gerichtlichen Auseinan-
dersetzung beweiserhebliche Daten und Dokumente nicht vorlegen und
damit seiner Beweispflicht nicht nachkommen kann (vgl. [Bücking 2007,
S. 17]). Wird im Zusammenhang mit steuerrelevanten Unterlagen gegen
Archivierungspflichten verstoßen, drohen Strafzahlungen wegen Steuer-
verkürzung. Zusätzlich zu diesen monetären Schäden ist ein potenzieller
Imageschaden von Bedeutung. Dieser kann sich leicht einstellen, wenn
etwa gegen Datenschutznormen verstoßen wird oder Kundendaten miss-
braucht werden. Folgen können eine negative Publizität, Nachteile bei
der Vergabe öffentlicher Aufträge oder gar Kundenabwanderungen sein.
Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen
zielt, ist IT-Compliance mit folgenden Vorteilen verbunden (s. Abb. 6,
vgl. [Böhm 2008, S. 26 f.]).
Vermeidung Erhöhung des
von Nachteilen Wertbeitrags der IT
Erhöhung Nutzen von Erhöhung
der IT-Qualität IT-Compliance der IT-Sicherheit
Senkung Reduzierung
der IT-Kosten von IT-Risiken
Abb. 6 Nutzen von IT-Compliance18 Nutzen von IT-Compliance
■ Wertbeitrag
Wenn die IT eines Unternehmens ihre Compliance nachweisen
kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des
Unternehmenswertes. Erweisen sich bestimmte Standards (z.B.
Sicherheitszertifikate) als Markteintrittsbarrieren, ist der Wert-
beitrag offensichtlich. Ohne die Konformität zu derartigen ex-
ternen Vorgaben könnten Umsatzchancen nicht genutzt werden.
Andererseits kann mangelnde IT-Compliance zu Abschlägen bei
der Bestimmung des Unternehmenswertes im Falle von Unterneh-
menstransaktionen führen, wenn sich während einer Due-Dilli-
gence-Prüfung IT-Compliance-Risiken offenbaren.
■ IT-Qualität
Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu
einer höheren Qualität von IT-Prozessen bei. Dies ist insbesondere
dann der Fall, wenn Compliance-Anforderungen und Kontrollen
als Elemente des IKS systematisch aufeinander abgestimmt wer-
den. Hieraus resultiert eine höhere Transparenz, die die gesamte
IT-Architektur umfasst und letztlich ein effektives Enterprise Ar-
chitecture Management (EAM) unterstützt. Eine in diesem Sinne
verbesserte Qualität führt zu einer Reduzierung der Komplexität
der IT-Infrastruktur und damit zu einer verbesserten Steue-
rungsfähigkeit, aber auch Auditierbarkeit der IT.
■ IT-Sicherheit und IT-Risiken
Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des
IT-Betriebs sicherstellen, adressieren zu einem hohen Anteil die
IT-Sicherheitsziele der Vertraulichkeit, Verfügbarkeit und Inte-
grität. Hieraus resultieren Synergiepotenziale, die bei einer ab-
gestimmten Vorgehensweise realisiert werden können. Auf diese
Weise entfaltet IT-Compliance zusätzliche Nutzenpotenziale für
die IT-Sicherheit. Gleiches gilt für das IT-Risikomanagement.
Auch dieses wird durch oftmals gleichgerichtete Maßnahmen der
IT-Compliance verstärkt.
■ IT-Kosten
Die verschiedenen Maßnahmen der IT-Compliance verursa-
chen selbstverständlich Kosten. Da die Maßnahmen aber auch
aus Gründen der Risikoreduzierung und der Erhöhung der
IT-Sicherheit erfolgen, lassen sich die damit verbundenen KostenNutzen von IT-Compliance 19 oft nicht eindeutig der IT-Compliance zurechnen. Dies gilt na- türlich auch umgekehrt für die Kosteneinsparungen, die sich u.a. aus der Automatisierung manueller Arbeitsabläufe (bspw. bei der Überwachung oder im Reporting), geringeren Kosten in der IT-Administration und -Wartung oder bei der Durchführung von Prüfungshandlungen ergeben. Der ROI von Maßnahmen der IT-Compliance kann – wenn überhaupt – somit nur in einem größeren Zusammenhang ermittelt werden. Trotzdem gilt, dass IT-Compliance zwar Investitionen erfordert, aber auch zur Redu- zierung von IT-Kosten beiträgt.
20 IT-relevante Regelwerke
IT-relevante Regelwerke
Klassifikation der Regelwerke
Es lassen sich grundsätzlich vier Gruppen von Regelwerken unterschei-
den, die in ihrer Summe ein Grundgerüst für eine systematische Analyse
von Compliance-Anforderungen darstellen:
■ rechtliche Vorgaben, d.h. Rechtsnormen (also vom Gesetzgeber erlasse-
ne Gesetze sowie auf deren Grundlage von den Verwaltungen erlassene
Rechtsverordnungen), Rechtsprechung sowie Verwaltungsvorschriften
und weitere Regelwerke, auf die in Gesetzen, Rechtsverordnungen und
Verwaltungsvorschriften verwiesen wird oder die von der Rechtspre-
chung zur Auslegung herangezogen werden;
■ Verträge, die ein Unternehmen mit Kunden, Lieferanten und sons-
tigen Marktpartnern abschließt und die IT-relevante Vereinbarun-
gen enthalten;
■ unternehmensexterne, auf IT-bezogene Regelwerke, wie Normen,
Standards, Zertifikate oder Richtlinien vielfältiger Institutionen;
■ unternehmensinterne Regelwerke, wie Unternehmensrichtlinien,
Organisations- oder Verfahrensanweisungen, Service Level Agree-
ments (SLAs) oder Hausstandards, soweit sie IT-relevante Vorgaben
enthalten.
Mit der Überlegung, dass sowohl der Bindungsgrad als auch das Risiko
bei einem Verstoß in der genannten Reihenfolge tendenziell abnehmen,
ergibt sich das in Abbildung 7 dargestellte »Zwiebelmodell«.
Bei Rechtsnormen und Verträgen ergeben sich höhere Risiken, weil
hier oft ein monetäres Strafmaß entweder gesetzlich oder vertraglich
geregelt ist bzw. aus Vertragsverletzungen teilweise bestandsgefährden-
de Schadensersatzpflichten resultieren können. Außerdem kommen in
diesen Fällen häufig Vertrauensverlust und Imageschäden hinzu, die das
Schadensausmaß zusätzlich erhöhen. Durch strafverfolgende Institutio-
nen bzw. Vertragspartner, die ihre Interessen wahren wollen, ergibt sich
auch eher die Wahrscheinlichkeit, dass ein Verstoß reklamiert und ein
Anspruch verfolgt und durchgesetzt wird.
Bei den externen Regelwerken ist zu beachten, dass diese ggf. auf-
grund Verweis oder Heranziehung zur Auslegung der RechtsnormenIT-relevante Regelwerke 21
letztlich deren Bindungswirkung und das daraus resultierende Risiko tei-
len. Die Regelwerke dieser Gruppe erlangen somit dann eine höhere Bin-
dungswirkung, wenn ihre Einhaltung von Dritten (z.B. Wirtschaftsprü-
fern, Kunden) eingefordert wird.
interne Regelwerke
externe Regelwerke
Verträge
n Risiko h Rechtsnormen h Bindung n
h = hoch
n = niedrig
Abb. 7 Zwiebelmodell für Compliance-relevante Regelwerke
Rechtliche Vorgaben
Gesetze und Rechtsverordnungen
Im Zentrum der rechtlichen Vorgaben stehen Rechtsnormen, also Gesetze
und Rechtsverordnungen. Die Notwendigkeit zur Einhaltung der IT-Com-
pliance ergibt sich nicht nur aus Gesetzen, die sich schon vom Namen her
offensichtlich auf die IT beziehen, wie beispielsweise das Bundesdaten-
schutzgesetz, das Signaturgesetz (SigG) oder das Telemediengesetz (TMG).
Vielmehr regeln zahlreiche weitere Gesetze den IT-Einsatz im Unterneh-
men, z.B. das Betriebsverfassungsgesetz (BetrVG), das Strafgesetzbuch
(StGB) sowie hinsichtlich der Buchführungs- und steuerlichen Pflichten das
Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) nebst Teilen der
einzelnen Steuergesetze. Vertragliche Anforderungen sind insbesondere im
Bürgerlichen Gesetzbuch (BGB) geregelt. Weiterhin zählen zu dieser Gruppe
die Rechtsentwicklungen, die sich auf EU-Ebene vollziehen (z.B. BASEL II
oder die 8. EU-Richtlinie, auch kurz »Euro-SOX« genannt).
Rechtsprechung
Zu den rechtlichen Vorgaben zählt weiterhin die Rechtsprechung, die die
Rechtsnormen auslegt und damit wesentlich deren Inhalt bestimmt. Dies
betrifft in besonderem Maße sogenannte unbestimmte Rechtsbegriffe22 IT-relevante Regelwerke bzw. Generalklauseln. Beispiele hierfür sind die »übliche Beschaffenheit«, die das Vorliegen eines Mangels im Werkvertragsrecht bestimmt, oder die »im Verkehr erforderliche Sorgfalt«, deren Missachtung den Vorwurf fahrlässigen Verhaltens begründet. Beispiel 6: Das Oberlandesgericht Hamm hat eine unterlassene Datensicherung bei Schäden, die durch Datenverluste infolge von Programmfehlern entstehen, als Mitver- schulden gewertet. In dem entschiedenen Fall hatte dies zur Folge, dass die Geltendmachung von Schadensersatzansprüchen verhindert wurde (nach [OLG Hamm 2003]). Verwaltungsvorschriften Auch ohne dass es sich um Rechtsnormen im engeren Sinne handelt, sind für IT-Compliance ferner Regelwerke relevant, die von den zuständigen (Aufsichts-)Behörden zur Interpretation und Ausführung der Rechtsnor- men aufgestellt oder erklärtermaßen herangezogen werden. Diese Regel- werke bewirken rechtlich eine Selbstbindung der Verwaltung, indem sie die Anwendung der Rechtsnormen durch die Verwaltung bestimmen. Beispiel 7: Sowohl die »Grundsätze ordnungsmäßiger DV-gestützter Buchführungssys- teme« (GoBS) als auch die »Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen« (GDPdU) wurden vom Bundesministerium für Finan- zen als Verwaltungsanweisung erlassen. Sie interpretieren die Regelungen der Abgabenordnung zu den Anforderungen an die ordnungsgemäße Buchführung beim Einsatz IT-gestützter Buchhaltungssysteme und bei Verwendung digitaler Unterlagen. In Bezug genommene Regelwerke Regelwerke, die als solche keinen Rechtsnormcharakter haben und so- wohl von Verwaltungen wie auch von privatrechtlichen Institutionen (z.B. dem DIN Deutsches Institut für Normung) stammen können, haben für die IT-Compliance die gleiche Bedeutung wie Rechtsnormen, wenn sie durch ausdrückliche Verweisung in diese einbezogen werden.
IT-relevante Regelwerke 23
Beispiel 8:
Die der MaRisk (Mindestanforderungen an das Risikomanagement) zugehörige
Erläuterung verweist auf die vom Bundesamt für Sicherheit in der Informations-
technik (BSI) herausgegebenen IT-Grundschutzkataloge (vgl. [BaFin 2006, S. 15]). Dies
hat zur Folge, dass Kreditinstitute, um keinen Beanstandungen der BaFin (Bundes-
anstalt für Finanzdienstleistungsaufsicht) ausgesetzt zu sein, ein Sicherheitsniveau
entsprechend den IT-Grundschutzkatalogen realisieren müssen.
Verträge
Vertragsverstöße stellen für ein Unternehmen operationelle Risiken dar,
die es mittels einer effektiven und effizienten Vertragssteuerung zu mana-
gen gilt. Zwei Gruppen von Verträgen sind hier von Bedeutung:
■ Verträge allgemeiner Art, deren Vertragsgegenstand sich nicht
auf IT-Belange konzentriert, die aber einzelne IT-relevante Rege-
lungen enthalten (beispielsweise zum Austausch oder zur Aufbe-
wahrung von Informationen) oder die dem Vertragsdokument als
IT-Objekt einen schutzwürdigen Status zuerkennen (was gewöhn-
lich durch eine Geheimhaltungsvereinbarung geschieht);
■ spezifische IT-Verträge, deren Vertragsgegenstand sich auf
IT-Leistungen bezieht und die dadurch direkt relevant sind für
IT-Compliance.
Während das Vertragscontrolling Leistungserbringer und -empfänger
kontinuierlich im Auge behalten muss, stehen aus Compliance-Sicht
nur diejenigen vertraglichen Vereinbarungen im Fokus, aus denen sich
IT-spezifische Pflichten und Obliegenheiten des Unternehmens als Ver-
tragspartner ergeben. Diese beziehen sich z.B. auf die Einhaltung be-
stimmter End- und Zwischentermine (Meilensteine), die Erfüllung von
Mitwirkungs- und Dokumentationspflichten sowie Geheimhaltungsabre-
den (vgl. [Klotz & Dorn 2005, S. 101]). In Bezug auf das Risikomanage-
ment stehen solche Regelungen im Vordergrund, aus denen sich Risiken
hinsichtlich potenzieller Fristsetzungen (Inverzugsetzung), Schadenser-
satzansprüche oder Vertragsstrafen ergeben.24 IT-relevante Regelwerke
Unternehmensexterne Regelwerke
In die Gruppe der unternehmensexternen Regelwerke fallen viele derje-
nigen Regelwerke, die derzeit im IT-Management große Aufmerksam-
keit erfahren, vor allem die als »Framework«, »Referenzmodell« oder
»Best-Practise-Modell« gehandelten Standards, wie CMMI (Capabili-
ty Maturity Model Integration), ITIL und COBIT (Control Objectives
for Information and Related Technology). Insgesamt sind die in dieser
Gruppe vertretenen Regelwerke höchst unterschiedlich. Die Spannbreite
reicht von Richtlinien supranationaler Organisationen, wie der OECD,
über nationale und internationale Normen (z.B. ISO 20000, ISO 2700x),
Standards internationaler und nationaler Verbandsorganisationen und
behördlicher Einrichtungen bis hin zu Empfehlungen oder Konzepten,
die sich über die Zeit durch Informations- und Erfahrungsaustausch in
der Fachwelt herausgebildet haben.
Aus Sicht der IT-Compliance sind in dieser Gruppe vor allem Regel-
werke von hoher Relevanz, die als Basis für Testierungen oder Zerti-
fizierungen dienen. Hierzu zählen vor allem die bereits erwähnten
Prüfungsstandards der Wirtschaftsprüfer (in Bezug auf die Abschlussprü-
fung sind dies IDW PS 330 und IDW RS FAIT 1 bis 3).
Unternehmensinterne Regelwerke
Bei unternehmensinternen Regelungen ist die Bindungswirkung auf das-
jenige Unternehmen beschränkt, das die jeweilige Regelung in Kraft setzt.
Beispiele für unternehmensinterne Regelungen aus dem IT-Bereich sind
interne IT-Richtlinien oder -Verfahrensvorgaben zur IT-Sicherheit (z.B.
IT-Sicherheitsvorschriften, E-Mail-Richtlinien, Regelungen zum Umgang
mit Passwörtern etc.). Aber auch zwischen der IT-Abteilung und den
Fachabteilungen vereinbarte Service Level Agreements zählen zu dieser
Gruppe.
Interne Regelwerke sind aus zweierlei Hinsicht Compliance-relevant.
Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anfor-
derungen aller anderen Regelwerke sicherzustellen, indem sie konkrete
Handlungsanweisungen für die Organisationsmitglieder vorgeben. Hier-
durch dokumentieren sie zum anderen nach außen, dass externen Ver-
pflichtungen, insbesondere rechtlichen Vorgaben, nachgekommen wird.IT-relevante Regelwerke 25
Beispiel 9:
Die ITIL (Information Technology Infrastructure Library) ist eine umfassende, nicht
proprietäre, öffentlich publizierte Ver fahrensempfehlung für die Planung, den
Betrieb, die Überwachung und Steuerung von IT-Services. Erarbeitet wurde die
ITIL durch die Central Computer and Telecommunications Agency (CCTA), eine
IT-Dienstleistungsorganisation der britischen Regierung, in Zusammenarbeit mit
Experten, Beratern und erfahrenen Berufspraktikern. Den Kern bilden in der ak-
tuellen dritten Version fünf Bücher. ITIL versteht sich als Best-Practise-Sammlung.
Eine Zertifizierungsmöglichkeit gibt es auf einer individuellen Ebene bzw. institu-
tionell nach ISO 20000. Heute besteht die ITIL-»Bewegung« aus allen Ingredienzen
eines professionellen Managementkonzeptes: Trainingsangebote inkl. quali-
fizierter Zertifikatsabschlüsse, Beratung und unabhängiger Er fahrungsaustausch
innerhalb spezieller Organisationen, Umsetzungshilfen und Softwaretools.
Bei COBIT (Control Objectives for Information and Related Technology)
handelt es sich um ein Referenzmodell (»Framework«), das Unternehmen eine
methodische Unterstützung bietet, um IT-Ressourcen (d.h. Anwendungen,
Informationen, IT-Infrastruktur und Personal) für die Erreichung von Wettbewerbs-
vorteilen zu nutzen (nach [ITGI 2005, S. 12]). Seit 1993 wurde COBIT vom interna-
tionalen Prüfungsverband ISACA (Information Systems Audit and Control Asso-
ciation) entwickelt und erstmals Ende 1995 veröffentlicht. Aktuell liegt COBIT in
der Version 4.1 vor (die deutsche Ausgabe in der Version 4.0). Die erste Version
von COBIT legte den Schwerpunkt auf sogenannte Kontrollziele und adressierte
damit vor allem die Arbeit von Wirtschaftsprüfern. Im Verlauf der letzten Jahre
entwickelte sich COBIT zunehmend zum Managementinstrument, mit dem die
IT nicht nur nachgelagert geprüft, sondern auch proaktiv gestaltet werden kann.
COBIT berücksichtigt wichtige Normen und Standards (z.B. ITIL, CMMI, ISO/IEC
17799) und kann aufgrund seiner übergeordneten Management- und Steue-
rungssicht als Integrator dienen, wenn ein Unternehmen diese Normen und Stan-
dards gleichzeitig nutzen will (vgl. [ITGI 2005, S. 197]).26 Management der IT-Compliance
Management der IT-Compliance
Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die
heute fast durchgängige IT-Unterstützung aller Unternehmensprozesse
sind Compliance-Anforderungen nicht mehr lediglich auf steuerliche oder
datenschutzrechtliche Belange begrenzt. Vielmehr geht es darum, dass
die gesamte geschäftliche Tätigkeit eines Unternehmens »compliant« mit
verschiedensten Regelungen sein muss. Um den diversen Transparenz-,
Prozess-, Nachweis- und Kontrollanforderungen nachzukommen, sind
Maßnahmen zu ergreifen, die letztlich Auswirkungen bis auf jeden ein-
zelnen Arbeitsplatz haben.
Hierbei gilt es vor allem die Compliance-Anforderungen der verschie-
denen Regelwerke aufeinander abzustimmen, um Doppelarbeit zu ver-
meiden. Insofern bilden die Identifizierung von Compliance-relevanten
Regelwerken sowie die Ableitung und Dokumentation der Compliance-
Anforderungen, die vom Unternehmen mit ggf. unterschiedlicher Priori-
tät einzuhalten sind, den ersten und wichtigsten Aufgabenbereich eines
Managements der IT-Compliance (vgl. [Klotz 2007, S. 17], Abb. 8(1)).
Weitere Aufgabenbereiche sind:
■ die Schaffung einer betrieblichen Organisation von Prozessen,
Verfahrensregelungen, Delegationen und (möglichst weitgehend
automatisierten) Kontrollen zur Überwachung der Einhaltung al-
ler Anforderungen der IT-Compliance (Abb. 8(2));
■ die Information aller in irgendeiner Form im Hinblick auf die be-
stehenden Verpflichtungen handelnden Betriebsangehörigen und
ggf. entsprechend eingesetzter Dritter über die einzuhaltenden
Regelungen (Abb. 8(3));
■ die Dokumentation sowohl der Information als auch der Organi-
sation und insbesondere deren Überwachung (Abb. 8(4));
■ die Einrichtung eines Change-Managements zur Reaktion auf
neue Entwicklungen der Anforderungen, z.B. innerhalb der aktu-
ellen Rechtsprechung oder erkannter Compliance-Schwachstellen
und -Risiken (Abb. 8(5)).Management der IT-Compliance 27
Die ablauforganisatorische Gestaltung dieser Aufgaben führt zu den
wesentlichen IT-Compliance-Prozessen, die den Kern eines Management-
systems für IT-Compliance bilden (s. Abb. 8).
IT-
Compliance-Ziele
Erfüllung von Vorgaben
Steigerung des Wertbeitrags der IT
Erhöhung der IT-Qualität
…
GRC-Koordination
Aufgaben-
und (1) (2) (3) (4) (5) Methoden
Verant- und
wortungs- Tools
teilung
IT-Compliance-Berichtswesen
Abb. 8 Managementsystem für IT-Compliance
Alle Compliance-Aktivitäten haben sich an den Zielen der IT-Compliance
auszurichten, die sich zwar generell auf die Erfüllung von Vorgaben rich-
ten, aber hinsichtlich der relevanten Regelwerke sowie der weiteren Ziel-
setzungen unternehmensspezifisch zu konkretisieren sind. Maßnahmen
zur Herstellung von IT-Compliance sind mit dem GRC-Management des
Unternehmens zu koordinieren und durch ein Berichtswesen zu ergän-
zen, das die Unternehmensleitung über den Status der Zielerreichung,
Compliance-Schwachstellen und -Risiken sowie wesentliche Projekte der
IT-Compliance unterrichtet. Zudem sind die IT-Compliance-Prozesse auf
der Basis einer festgelegten und kommunizierten Aufgaben- und Verant-
wortungsteilung auszuführen und durch Methoden und Tools zu unter-
stützen.28 Ausblick
Ausblick
IT-Compliance zeigt sich im Vorhandensein und Funktionieren spezifi-
scher informations- und kommunikationstechnischer Einrichtungen, im
Vorliegen von Notfallplänen, Systemarchitekturen oder Dokumentatio-
nen von Prüfhandlungen, im konkreten Umgang mit Daten und IT-Sys-
temen, in automatisierten Kontrollen und manuellen Prüfprozeduren,
Zugangskonzepten und Sicherheitsklassifizierungen, in der Möglichkeit
eines kurzfristigen Datenzugriffs, im Vorhandensein von IT-Richtlinien
und ihrer nachvollziehbaren Befolgung u.v.a.m. Viele der genannten Ob-
jekte, Mechanismen und Handlungen sind jedoch ebenso Gegenstand
eines IT-Risiko- und eines IT-Sicherheitsmanagements. IT-Compliance
steht mit diesen beiden Bereichen des IT-Managements in engem Zusam-
menhang, lässt sich aber dennoch nicht auf einen oder beide dieser Be-
reiche zurückführen. Die Befolgung verbindlich vorgegebener oder selbst
gewählter professioneller Regelwerke wird in der Gesamtheit weder vom
IT-Risiko- noch vom IT-Sicherheitsmanagement sichergestellt.
Im Zentrum eines Managements der IT-Compliance muss das Be-
mühen stehen, die Anforderungen der verschiedenen Regelwerke mitein-
ander abzustimmen, um Komplexität zu reduzieren und Doppelarbeit
zu vermeiden. Erst auf dieser Basis sollten Kontrollen zur Überwachung
der Einhaltung von Compliance-Anforderungen konzipiert und – wo
möglich – automatisiert werden. Hierbei sollten integrierte technische
Lösungen eingesetzt werden. Ansonsten drohen unkoordinierte Vorge-
hensweisen und isolierte Lösungen, die im Nachgang nur mit ungleich
größerem Aufwand zu integrieren sind.
Die aktuelle Herausforderung für Unternehmen besteht darin, die mit
IT-Compliance verbundene Verantwortung zu erfassen und strukturell,
prozessual, methodisch und instrumentell umzusetzen. Dies erfordert die
Initiative und den Rückhalt der Unternehmensleitung – in ihrem eigenen
Interesse.Sie können auch lesen
