ComplianceDefinition, Anwendung und Nutzen der IT-Compliance

Wenn es um den Einsatz von IT in Unternehmen geht, müssen zahlreiche Gesetze, Normen und Standards beachtet und eingehalten werden. Dafür braucht es eine funktionierende IT-Compliance. Damit wird die IT-Sicherheit verbessert und Imageschäden werden vermieden.

Was ist IT-Compliance?

IT-Compliance bedeutet, dass alle für die IT des Unternehmens relevanten Vorgaben nachweislich eingehalten werden. Dabei ist es unerheblich, ob die IT-Leistungen ausschließlich unternehmensintern oder durch externe IT-Dienstleister – zum Beispiel im Rahmen von Entwicklungs-, Hosting- oder Outsourcing-Verträgen – erbracht werden.

Eine weitere Sichtweise versteht IT-Compliance als Einsatz von Software- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken sichergestellt werden kann. In diesem Sinne handelt es sich um IT-gestützte Compliance.

IT-Compliance betrachtet die Informationstechnik als Träger von Compliance-Anforderungen. Bei dieser Sichtweise stellen sich folgende Fragen:

  • Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
  • Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anforderungen müssen sie erfüllen?
  • Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter IT-Compliance?
  • Welche Compliance-Anforderungen müssen die einzelnen IT-Bereiche (Infrastruktur, Datenhaltung, Betrieb, Prozesse) erfüllen?
  • Welche technischen, organisatorischen und personellen Maßnahmen müssen für die Gewährleistung von IT-Compliance ergriffen werden?

Neben Gesetzen müssen Unter­nehmen weitere Vorgaben aus unterschiedlichen Regelwerken beachten. Diese erstrecken sich auf Verträge, die die rechtlichen Vorgaben ergänzen, sowie auf unternehmensinterne und unternehmensexterne Regelwerke.

DIN-Normen und ISO-Normen als externe Regelwerke für IT-Compliance

Die unternehmensexternen Regelwerke beinhalten hauptsächlich DIN-Normen und ISO-Normen und Standards. In Bezug auf die IT können das zum Beispiel ITIL (IT Infrastructure Library) oder COBIT (Control Objectives for Information and Related Technology) sein.

Diese können für ein Unternehmen genauso von existenzieller Bedeutung sein wie die Befolgung gesetzlicher Vorgaben. Vor allem gilt das für Standards, die sich in einer Branche durch­gesetzt haben und hier eine grundlegende Voraussetzung für die Geschäftstätigkeit darstellen.

Richtlinien und Vorgaben als interne Regelwerke

Zu den unternehmensinternen Regelungen aus dem IT-Bereich zählen interne Richtlinien oder Verfahrensvorgaben zur IT-Sicherheit. Beispiele dafür sind IT-Sicherheitsvorschriften, E-Mail-Richtlinien oder Regelungen zum Umgang mit Passwörtern. Aber auch zwischen der IT-Abteilung und den Fachabteilungen vereinbarte Service-Level-Agreements zählen zu dieser Gruppe.

Interne Regelwerke sind für die Compliance aus zweierlei Hinsicht relevant: Zum einen sollen sie sicherstellen, dass alle Anforderungen aus Regelwerken beachtet werden, indem sie Handlungsanweisungen für die Mitarbeitenden vorgeben. Zum anderen dokumentieren sie nach außen, dass rechtliche Vorgaben eingehalten werden.

Die folgende Abbildung zeigt, welche internen und externen Regelungen und rechtliche Vorgaben beachtet werden müssen.

Quellen von Compliance-Vorgaben. Quelle: SAPERION

Warum und wozu IT-Compliance?

IT-Compliance soll ein Unternehmen vor allem vor wirtschaftlichen Nachteilen als Folge von Rechtsverletzungen bewahren. Vermieden werden sollen Schadensersatzpflichten, Strafen, Buß- und Zwangsgelder, aber auch erhöhte Steuerzahlungen nach Schätzungen des Finanzamts.

So kann ein Schaden entstehen, wenn ein Unternehmen im Rahmen einer ge­richtlichen Auseinandersetzung wichtige Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nachkommen kann.

Zusätzlich zu monetären Schäden ist ein potenzieller Imageschaden von Bedeutung. Dieser kann sich leicht einstellen, wenn etwa gegen Datenschutzgesetze verstoßen wird oder Kundendaten missbraucht werden. Die Folgen können negative Publicity, Nachteile bei der Vergabe öffentlicher Aufträge oder Kundenabwanderungen sein. Eine gute IT-Compliance kann vor solchen Folgen bewahren.

Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden.

Höhere Qualität von IT-Prozessen

Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höheren Qualität von IT-Prozessen bei, insbesondere durch mehr Transparenz. Diese führt zu einer verbesserten Steuerungsfähigkeit und zur besseren Auditierbarkeit der IT.

Höhere IT-Sicherheit

Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Betriebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicherheitsziele der Vertraulichkeit, Verfügbarkeit und Integrität. Das verbessert die IT-Sicherheit. Gleiches gilt für das IT-Risikomanagement.

Kostenersparnis

Kosteneinsparungen resultieren unter anderem aus der Automatisierung manueller Arbeitsabläufe, geringeren Kosten in der IT-Administration und IT-Wartung oder bei der Durchführung von Prüfungshandlungen.

Erhöhung des Unternehmenswertes

Wenn die IT-Abteilung ihre Compliance nachweisen kann, führt dies zu einer Erhöhung des Unternehmenswertes. Erweisen sich bestimmte Standards als Markteintrittsbarrieren, ist der Wertbeitrag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Umsatzchancen nicht genutzt werden. Andererseits kann mangelnde IT-Compliance zu Abschlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmenstransaktionen führen, wenn sich während einer Due-Diligence-Prüfung Risiken bei der IT-Compliance zeigen.

Überblick über die Compliance-Anforderungen gewinnen

Durch die Fülle von Rechtsnormen und Regelwerken sowie die heute fast durchgängige IT-Unterstützung aller Unternehmensprozesse sind Compliance-Anforderungen nicht mehr lediglich auf steuerliche oder datenschutzrechtliche Belange begrenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens „compliant“ mit verschiedensten Regelungen sein muss.

Hierzu ist es notwendig, einen Überblick über die relevanten Compliance-Anforderungen zu gewinnen:

  • Die Identifizierung von Compliance-relevanten Regelwerken sowie die Ableitung und Dokumentation der Compliance-Anforderungen, die das Unternehmen mit gegebenenfalls unterschiedlicher Priorität einhalten muss. Sie bilden den ersten und wichtigsten Aufgabenbereich eines IT-Compliance-Prozesses.
  • Die Schaffung einer betrieblichen Organisation von Prozessen, Verfahrensregelungen, Delegationen und möglichst weitgehend automatisierten Kontrollen zur Überwachung der Einhaltung aller Anforderungen der IT-Compliance.
  • Die Information aller im Hinblick auf die bestehenden Verpflichtungen handelnden Beschäftigten und gegebenenfalls entsprechend eingesetzter Dritter über die einzuhaltenden Regelungen.
  • Die Dokumentation der Information und Organisation sowie deren Überwachung.
  • Die Einrichtung eines Change-Managements zur Reaktion auf neue Entwicklungen der Anforderungen.

Dazu im Management-Handbuch

Weiterlesen

Vorlagen nutzen

Excel-Tipps