12737 Klotz IT Compliance Druck - dpunkt.de · IT-Compliance im Unternehmen 3 IT-Compliance im...
40
dpunkt.verlag Michael Klotz Ein Überblick
Transcript of 12737 Klotz IT Compliance Druck - dpunkt.de · IT-Compliance im Unternehmen 3 IT-Compliance im...
dpunkt.verlag
Michael Klotz
Ein Überblick
Prof. Dr. Michael KlotzFachhochschule StralsundSIMAT – Stralsund Information Management Team Fachbereich WirtschaftZur Schwedenschanze 1518435 [email protected]
1. Auflage 2009Lektorat: Vanessa WittmerCopy Editing: Ursula Zimpfer, Herrenberg Satz und Herstellung: Frank HeidtUmschlaggestaltung: Helmut Kraus, www.exclam.deDruck: WÖRMANN & PARTNER, Heidelberg
Artikel-Nr.: 077.95730
Copyright © 2009 dpunkt.verlag GmbHRingstraße 19 b69115 Heidelberg
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehal-ten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrol-liert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen. 5 4 3 2 1 0
Michael Klotz
IT-ComplianceEin Überblick
Einleitung2
Einleitung
Wegen Verstoßes gegen das Bundesdatenschutzgesetz werden Bußgelder in Millionenhöhe verhängt, Vorständen wird wegen eines mangelhaften Risikofrüherkennungssystems die Entlastung verweigert oder sie müssen wegen Pannen bei problematischen Finanztransaktionen ihren Posten räumen. Immer wieder wird von verlorenen oder gestohlenen Daten be-richtet. Zudem halten Bespitzelungsskandale Vorstände und Aufsichtsrä-te, aber natürlich auch die Betroffenen und die gesamte Öffentlichkeit in Atem. Mit der viel beschworenen verantwortungsvollen Unternehmens-führung scheint es immer häufiger nicht gut bestellt zu sein. So wundert es nicht, dass (mangelhafte) Compliance derzeit nicht nur Tagungsthema und Gegenstand von Fachpublikationen ist, sondern sogar den Weg in die Tagespresse findet.
Wie kommt es dazu? Als Ursache dieser Entwicklung beklagen viele Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen, Verordnungen, Normen, Standards usw. Für Unternehmen aller Größen-ordnungen bedeutet dies wachsende Risiken aus potenziellen Regelver-stößen – die sich schon deswegen ergeben können, weil es eben mittler-weile kaum noch möglich ist, den Überblick zu behalten. Die Vermeidung derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der IT-Compliance. So stellt sich die Frage: Was ist zu tun, um Compliance zu erreichen? Die Antwort muss jedes Unternehmen selbst finden.
Die Broschüre hilft dabei, ein klares Verständnis für IT-Compliance zu erlangen und das Thema hinsichtlich anderer Konzepte (Governance, Sicherheits- und Risikomanagement) zu verorten. Dies ist die notwendige Grundlage, um Umfang und Nutzen von IT-Compliance zu diskutieren, an IT-Compliance Beteiligte zu identifizieren und ein Managementsystem für IT-Compliance einzurichten.
Michael KlotzStralsund, Februar 2009
IT-Compliance im Unternehmen 3
IT-Compliance im Unternehmen
Compliance-Begriff Schon die Bedeutung von »Compliance« ist nicht leicht zu fassen, da der Begriff der angelsächsischen Rechtsterminologie ent stammt (vgl. [Hauschka 2007, S. 2]) und in so fern erst in deutsche Wissenschaftsdis-ziplinen, Fach dis kussionen und wirt schaft liche Handlungsbereiche ein-geordnet werden muss. Ohne eine der artige, syste ma tische Einordnung droht eine »Aufladung« des Compliance-Be griffs mit vorschnellen Iden-tifizierungen und be lie bi gen Be zügen zur Unternehmenswirklichkeit.
In einem allgemeinen, grundlegenden Verständnis ist ein Unterneh-men »compliant«, wenn es in seiner Geschäfts tätig keit bestimmte rele-vante Vor gaben befolgt. Neben »Befolgung« werden auch die Begriffe »Über ein stim mung«, »Ein hal tung«, »Konformität«, »Erfüllung« oder »Entsprechung« ver wen det. Wel che Vorgaben relevant sind, ist einerseits unternehmensextern vorgegeben, andererseits selbst ge wählt. Dement-sprechend lässt sich der Com pliance-Begriff wie folgt fassen:
Compliance liegt vor, wenn alle für das Unter neh men verbindlich vorge gebe nen bzw. als verbindlich akzeptierten Vorgaben nachweislich ein ge halten werden.
Eine besondere Bedeutung kommt hierbei der nicht nur potenziellen, son-dern auch faktischen Nachweisbarkeit zu. Diese ist notwendig, um sich im Verdachts- und Streitfall exkulpieren zu können.
Beispiel 1:
Das Landgericht München I hat in seinem Urteil vom 5. April 2007 den Haupt-
versammlungsbeschluss zur Entlastung des Vor stands für nich tig erklärt. Bei dem
betreffenden Groß handels unternehmen man gelte es an einer hin rei chenden
Dokumentation des Risiko früh er kennungs sys tems. Die se Doku mentation sah das
Gericht als eine zentrale Aufgabe des Vor stan des an und stuf te die unterbliebene
Dokumentation als wesent lichen Ver stoß gegen § 91 Abs. 2 AktG ein (nach
[LG München I 2007]).
IT-Compliance im Unternehmen4
Doku men tationspflichten sind zu dem auch ohne explizite Rege lung erfor derlich, um den zentralen Management anforderun gen der Trans pa-renz und Kon trolle zu ge nügen (vgl. [Klotz & Dorn 2008, S. 8]).
So fern die Vorgaben aus Gesetzen stammen, bedeutet dies, dass sich Un ter neh men an geltendes Recht zu halten haben – was eigent lich eine Selbst ver ständ lich keit sein sollte. Neben Gesetzen, oder besser Rechts-nor men, hat ein Unter nehmen jedoch auch weitere Vorgaben aus unter-schied lichen Regel werken zu beachten (s. Abb. 1). Diese er strecken sich auf Verträge, die die Gruppe der rechtlichen Vorgaben er gän zen, sowie auf unterneh mens interne und -externe Regelwerke. Die unternehmensex-ternen Regelwerke be in halten vor allem Normen und Standards, die für ein Unternehmen genauso von exis tenzieller Be deu tung sein können wie die Befolgung gesetzlicher Vorgaben. Dies gilt vor allem für Standards, die sich in einer Branche durch gesetzt haben und hier somit eine grundle-gende Voraussetzung für die Ge schäfts tätigkeit darstellen.
Abb. 1 Quellen von Compliance-Vorgaben
Aktualität von ComplianceBezüglich der aktuellen Relevanz der Compliance-Thematik ist auf zahl-reiche Beispiele der jüngsten Vergangenheit zu verweisen, in denen sich Unter nehmen nicht an (vor allem gesetzliche) Vorgaben gehalten haben und damit eben »nicht compliant« waren. Tabelle 1 nennt einige Fälle, die in 2008 eine größere Publizität erlangt haben.
Unternehmensinterne Regelwerke
Richtlinien
Hausstandards
Verfahrens- anweisungen
Service Level Agreements
...
Unternehmensexterne Regelwerke
Kodizes
Normen
Branchen- standards
Verbands- standards
...
Gesetze und Rechtsverordnungen
Verwaltungsvorschriften
Referenzierte Regelwerke
Rechtliche Vorgaben
Rechtsprechung
Verträge
IT-Compliance im Unternehmen 5
Institution Fall
Lidl Überwachung der Mitarbeiter durch Detekteien per Video; Lidl
wird zu einer Gesamtstrafe in Höhe von 1,462 Mio. € verurteilt
Deutsche
Telekom
Ausspionieren von Journalisten, Telekom-Auf sichtsräten und
eigenen Mitarbeitern
KfW Überweisung von 300 Mio. € aus einem Ter min ge schäft an die
US-Investment bank Lehman Brothers, die am gleichen Tage
einen Insolvenz antrag stellte
Einwohner-
meldeämter
Daten von Bürgern aus rund 200 Städten und Gemein den waren
über Jahre hinweg frei im Internet zugänglich
T-Mobile
Deutschland
Datendiebstahl von über 17 Mio. Mobil funk kunden (bereits 2006
erfolgt, aber erst 2008 bekanntgegeben)
Tab. 1 Compliance-relevante Vorfälle im Jahr 2008
In den ausgewählten Fällen spielt die Nutzung von Daten und Infor ma-tions tech nologie (IT) eine zentrale Rolle. Bei den beiden erstgenannten Bei spielen ist mit dem vorsätzlichen Missbrauch personen bezogener Da-ten ein Verstoß gegen gesetzliche Regelungen offen sichtlich. Im Fall der Kredit anstalt für Wiederaufbau (KfW) führten un ge nügende Kontroll-prozesse zur Aus führung der Überweisung und dem damit verbundenen Schaden. Hier ergeben sich zumindest Vorwürfe hinsicht lich einer man-gelnden Effektivität des operativen Ri si ko managements. In den bei den letztgenannten Fällen mangelte es offenbar an effek tiven Maß nahmen des Zu griffs schutzes und an entsprechenden Kon trollen, wie sie sowohl von ge setzlichen Regelungen als auch von Nor men und Standards des IT-Sicher heitsmanage ments gefordert werden.
Vor allem in den Fällen von Gesetzesverletzungen ist davon aus zu -gehen, dass die betroffenen Unter nehmen neben Schadensersatzzah-lungen und ge setzlich vorgesehenen Stra fen in der Öffentlichkeit eine Schädigung ihrer Repu tation, verbunden mit Ver trau ensverlust und Kun-denbindung, erlitten haben. Dies soll jedoch nicht heißen, dass die man-gelnde Befolgung der sons tigen Regelwerke von ge rin ge rer Bedeu tung ist. Verträge sehen bei Ver letzung vertrag licher Vereinbarungen mitunter empfindliche Strafzahlungen vor. Der Ver lust von Zerti fikaten als Folge
IT-Compliance im Unternehmen6
mangelnder Kon for mität mit am Markt übli chen Standards kann Nach-teile bei der Auf trags gewinnung nach sich ziehen. Und die mangelnde Be-folgung unterneh mens interner Rege lun gen führt wie der um zum Verstoß gegen externe Vor gaben, aber auch zu in ter nen In effi zienzen, Kontroll-verlust und opera tio nellen Risi ken.
Diese Beispiele zeigen, dass die im Unternehmen eingesetzte Infor ma-tions tech nik eine wesentliche Rolle in der Compliance-Thematik spielt. Glei ches gilt für die IT-Abteilung, die den Einsatz der Informations tech-nik zur Unterstützung der Unter nehmens prozesse verantwortet. Damit steht »IT-Com pliance« als Teil bereich des IT-Managements zur Debatte. Wie prägt sich dieser Teilbereich der Compliance aus?
IT-ComplianceAls Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet IT-Com pliance einen Zustand, in dem alle für die IT des Unternehmens rele van ten Vorgaben nachweislich eingehalten werden. Hierbei ist es un-erheblich, ob die IT-Leistungen ausschließlich unternehmensintern oder (teilweise) durch externe IT-Dienstleister (im Rahmen von Entwicklungs-, Hosting-, Out sourcing -Verträgen o.Ä.) erbracht werden.
Eine weitere Sichtweise ver steht IT-Compliance als Einsatz von Soft- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regel-werken sichergestellt werden kann. In diesem Sinne handelt es sich um »IT-ge stützte Corporate Compliance« [Teub ner & Feller 2008, S. 401]. Diese Interpretation wird vor allem von Herstellern ver treten, die Lösun-gen für Secu ri ty- oder Con tent-Management, Archivie rung, Verschlüs-selung, Nutzer-, Zu gangs- und Lizenz verwaltung u.a.m. an bie ten. Aber auch auf Unter neh mens seite wird dieser Sicht gerne ge folgt, belegt doch der Einsatz derartiger Systeme das Bemühen um Com pliance. Dass die-se Perspektive ihre Berechtigung hat, soll nicht im Geringsten be zweifelt werden. Im Gegenteil: Ohne die ge nannten Lösungen sind die zahlreichen Compliance-Anforderungen nicht in den Griff zu be kommen. Aus diesem Grunde ist es sinn voll, sich die grund legenden Unter schiede zwischen den beiden Inter pre ta tions mög lich keiten zu verdeutlichen (s. Abb. 2).
IT-Compliance im Unternehmen 7
Abb. 2 IT-Compliance vs. IT-gestützte Compliance
IT-Com pliance betrachtet die IT als Träger von Compliance-Anfor de-run gen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen (nach [Klotz & Dorn 2008, S. 9 f.]):
■ Welche Rechtsnormen und ggf. sonstigen Regelwerke sind für die IT des Unternehmens relevant?
■ Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anforderungen sind von ihnen zu erfüllen?
■ Welche Risiken resultieren in welcher Höhe aus fehlender oder mangel hafter Compliance der IT?
■ Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?
■ Welche technischen, organisatorischen und personellen Maßnah-men sind für die Gewährleistung von IT-Compliance zu ergreifen?
IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von Com pliance genutzt wird. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen:
■ Welche Compliance-Anforderungen haben die Geschäftsprozesse zu er füllen?
■ Welche Compliance-Anforderungen kann eine spezifische Hard- oder Software adressieren?
■ Welche Hard- oder Softwarelösung ist für die Erfüllung der Compliance-Anfor de run gen am besten geeignet?
■ Wie sind die verfügbaren Compliance-Tools aufeinander abzu-stimmen?
Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und inso fern beide notwendig sind, um Compliance im Allgemeinen und
IT-Compliance IT-gestützte Compliance
Die IT ist ...
»Compliance von IT« »Compliance mit IT«
Träger von Compliance-Anforderungen
Mittel zur Erfüllung von Compliance-Anforderungen
IT-Compliance im Unternehmen8
IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch) IT-gestützte Com pliance vor. Eine auf diesem Wege geschaffene Automa-tisierung von Com pliance ist die einzige Mög lichkeit, die Vielzahl heuti-ger Compliance-Anfor de rungen zu erfüllen. Dies gilt insbesondere für die kontinuierliche Über wachung des IT-Betriebs auf Compliance-Verstöße.
Beispiel 2:Das Bundesdatenschutzgesetz (BDSG) richtet spe zifische An for de run gen an die
Haltung personen be zo ge ner Daten. Zum Schutz dieser Daten sind nach § 9 BDSG
und der zu ge hörigen An lage 1 zahlreiche Kontrollen zu imple men tieren (z.B. Zu-
tritts-, Zu griffs- oder Verfüg barkeits kon trollen). Um diese Vor gabe zu er füllen,
sind zuerst or ganisa to rische und per so nelle Maß nah men zu er greifen, z.B. die
Durchführung von Risiko- und Schutz be darfs analy sen, die Fest legung von Zugriffs-
be rech ti gun gen, die Planung und Durch führung von Schu lungsmaßnahmen, die
Regelung von Zu tritts- und Zu gang srechten, das Er las sen von Vorschriften für die
Ver ar bei tung von per so nenbezogenen Da ten und die Ver pflich tung der Mit arbei-
ter auf diese Vor schriften. Zu einem Großteil führen die se Maß nah men letztlich
zu tech ni schen Lö sun gen, z.B. einer auto ma ti sier ten, funk tions basier ten Zu griffs-
steu e rung, ei ner system ge steuerten Passwort ver ga be oder einer auto ma tischen
Daten si che rung (nach [Neundorf 2007, S. 609 ff.]).
Bezug zu Governance und RisikomanagementVor dem Hintergrund spektakulärer Betrugsfälle und Bilanz manipu la-tionen (beispielsweise Worldcom und Enron in den USA, Flowtex und Balsam in Deutschland) steht der Begriff »Corporate Governance« seit nunmehr ca. 15 Jahren für die Diskussion um eine ord nungsgemäße Un-ternehmensführung. Von zen tra ler Bedeutung für die betriebliche Überwa-chung und Kontrolle ist das 1998 in Kraft getrete ne »Gesetz zur Kontrolle und Transparenz im Unter nehmensbereich« (KonTraG). Dieses hatte u.a. die Regelung des § 91 Abs. 2 AktG zur Folge, wonach der Vorstand ver-pflichtet ist, »geeignete Maß nah men zu treffen, insbesondere ein Überwa-chungssystem einzurichten, damit den Fortbestand der Gesellschaft ge-fährdende Entwicklungen früh erkannt werden«. Ähnlich werden häufig die aus der Section 404 des im Juli 2002 in den USA in Kraft gesetzten »Sarbanes-Ox ley Act« (SOX) resul tierenden Ver pflichtungen zur Einrich-tung eines internen Kontroll systems (IKS) ange führt. In Deutsch land sind aller dings nur die jenigen (weni gen) Unter neh men von SOX be trof fen, die
IT-Compliance im Unternehmen 9
selbst oder in di rekt als Toch ter ge sellschaft aus län di scher Unter neh men an US-ame ri ka ni schen Börsen ge listet sind. Ähnliche Pflichten hinsicht-lich der Gestaltung interner Kontroll- und Risiko manage mentsysteme ergeben sich künftig für einen erweiterten Unter neh mens kreis aus dem Bilanz rechts moderni sie rungsgesetz (BilMoG).
KonTraG, SOX, BilMoG und weitere Gesetze, aber vor allem auch bran chen spezifische Vorgaben führen in den betroffenen Unternehmen zur Ein richtung von Risikomanagementsystemen, mit deren Hilfe Risi-ken effektiv und effizient identifiziert, bewertet und gesteuert werden sol-len. In diesem Zu sammenhang sind potenzielle Regelverstöße, insbeson-dere Gesetzes ver stöße durch Mit arbeiter oder Organe, als Betriebs risi ken des Unternehmens an zusehen.
Governance, Risikomanagement und Compliance verweisen somit auf ein an der. Aufgrund der inhaltlichen Zusammenhänge wird neuer-dings von der Trias »Governance-Risk-Com pli ance« (GRC) ge sprochen, die eine inte grier te Strategie und ein ge mein sa mes Management erfor-dert. Dieser allge meine GRC-Zusammenhang ergibt sich nun auch für die IT. Ein IT-Risiko management richtet sich speziell auf die IT-Risiken des Unter neh mens. Als Schnittmenge von IT-Risiken einerseits und von mit Regel ver stößen ver bundenen Risiken, d.h. Compliance-Risiken, an-dererseits ergeben sich die IT-Compliance-Risiken (s. Abb. 3).
Abb. 3 IT-Compliance-Risiken als Schnittmenge
In einer derartigen risiko orientierten Sichtweise adressiert IT-Com-pliance IT-Risi ken, die da durch entstehen, dass die IT nicht wie geplant funk tioniert, schlecht orga ni siert ist, nicht wie erfor der lich betrieben und genutzt wird, un zu reichend ver fügbar oder ungenügend ge sichert ist, manipuliert oder miss braucht werden kann usw., sodass hier durch vor allem gesetzliche Vorgaben (potenziell) nicht oder nur mangelhaft erfüllt werden.
Risiken
Risiken aus Regelverstößen IT-Risiken IT-Compliance-
Risiken
IT-Compliance im Unternehmen10
Regelwerke der Corporate Gover nance können heute häufig nur noch erfüllt werden, wenn ent spre chen de IT-Maß nahmen ergriffen werden. Vor allem hinsichtlich der Finanz bericht erstattung muss die Ordnungsmäßig-keit sowohl der Entwicklung als auch des Betriebs von IT-Anwendungen nach gewiesen werden können (nach [Johannsen & Goeken 2007, S. 15]). Cor po rate Go ver nance zieht somit eine spezialisierte IT-Governance nach sich. Diese rich tet sich auf die Regelung von Verantwortlichkeiten und Ent schei dungs rechten sowie entsprechende Prozesse und Verfahren mit dem Ziel, aus der IT-Nutzung einen maximalen Wertbeitrag für das Un-ternehmen zu ziehen (vgl. z.B. [Weill & Woodham 2002, S. 1], [Meyer et al. 2003, S. 445]). Hier zu gehört auch die Ein richtung eines IT-Kon-trollsystems (als Bestandteil des IKS), mit dem die Steuerung und Überwa-chung der IT im Unternehmen sicher gestellt werden soll. Für die Ausge-staltung des IT-Kon trollsystems liegen wiederum einschlägige Standards vor, die insofern Gegen stand der IT-Compliance sind, z.B. Standards und Stellungnahmen des Instituts der Wirt schafts prüfer (IDW).
Beispiel 3:
Die AXA Konzern AG unterliegt als Toch ter gesellschaft der an der New York
Stock Exchange (NYSE) no tier ten Pariser Muttergesellschaft den Rege lun gen
des »Sarbanes-Ox ley Act«. IT-Risiken wurden im Rah men eines Projektes zur
Einführung eines IKS für die Cash- und Jahres ab schluss prozesse bei der Da-
tenaufbereitung und -hal tung so wie der manu ellen Eingabe und Wei ter lei tung
von Daten gesehen. Hin sicht lich der SOX-An forderungen wurde die He te ro ge ni-
tät der System landschaft ins gesamt als problematisch be urteilt. Com pliance-Ri si-
ken er gaben sich auf grund der zahl rei chen Schnittstellen bei der Pflege und der
Daten über tragung zwi schen den ver schie denen An wen dungs sys temen, da hier-
durch die Zuver lässig keit der Kon trol len des IKS nicht beurteilt wer den konnte
(nach [Michels & Krzeminska 2006, S. 141ff.]).
Im Ergebnis erfährt die GRC-Trias eine Spezialisierung im IT-Bereich, was zu vielfältigen Koordinationsnotwendigkeiten führt. So muss sich jede Spezialisierung in den jeweiligen generellen Bereich eingliedern, also z.B. die IT-Compliance in die gene rel len Compliance-Aktivitäten des Unter nehmens, aber auch mit den anderen Spezialisierungen abgestimmt werden, beispielsweise IT-Compliance mit IT-Governance und IT-Risiko-manage ment (vgl. Abb. 4).
IT-Compliance im Unternehmen 11
Abb. 4 Bezüge der IT-Compliance
Organisatorischer GeltungsbereichDer organisatorische Geltungsbereich von IT-Com pliance hängt davon ab, welche Aufgaben die IT als Unter nehmensfunktion konkret über-nimmt. Die von der IT zu beachtenden Regelwerke differieren nämlich, je nachdem, ob die IT des Unternehmens nur mit abgegrenzten speziellen Aufgaben, z.B. der Buchführung, befasst ist oder die gesamte Geschäfts-tätigkeit des Unter neh mens umfassend unterstützt. Im Kern wird sich der organi sa to rische Gel tungs bereich auf folgende Gebiete er strecken:
■ Rechnungswesen (intern/extern) ■ Steuern ■ Personalwesen ■ Vertrieb und Kundenbetreuung ■ Internetpräsenz und elektronische Kommunikation ■ Archivierung und Dokumentenmanagement ■ IT-Beschaffung sowie Betreuung von Software und Hardware ■ Datenschutz
Dieser Umfang zeigt deutlich, dass nicht nur Großunternehmen, sondern auch mittelständische und sogar kleine Unternehmen von IT-Com pliance betroffen sind. Drei der oben genannten Bereiche sollen dies verdeutlichen.
Compliance
Governance Risk-
management
GRC
IT-C
IT-G IT-RM
IT- Compliance
IT- Governance
IT-Risiko- manage-
ment
IT-Compliance im Unternehmen12
Beispiel 4:
Steuern: Nach § 147 Abs. 6 AO muss ein Unternehmen bei der IT-ge stützten Er-
stellung steuerlich relevanter Aufzeichnungen nicht nur die »Ein sicht« in diese
Daten ermöglichen, sondern nach Vorgabe des Be triebs prüfers auch die Da ten
entweder selbst auswerten oder den Finanz be hör den auf einem Daten träger zur
Verfügung stellen. Folglich muss die IT dem Be triebs prüfer bei einer Außen prü-
fung einen sinn vollerweise auf die relevanten Daten einge schränk ten Zugang
zur Ver fügung stellen bzw. eine Kon ver tierung der Daten in ein für das Finanzamt
lesbares Format vornehmen und diese Daten zwecks Übergabe auf einen Daten-
träger übertragen.
Elektronische Kommunikation: Kaum ein Unter neh men verzichtet heu te auf die
Nutzung von E-Mails. Die geschäftliche E-Mail-Kommunika tion ist jedoch Com-
pliance-relevant, da im Rahmen der Impressumspflicht Angaben zur Fir mie rung,
Rechts form und Ver tretung erforderlich sind (z.B. nach § 37 a HGB).
Archivierung und Dokumentenmanagement: Un ternehmen sind zur Auf-
bewahrung und Wiedergabe er hal te ner und ver sendeter Handelsbriefe (nach
§ 257 Abs. 2 HGB alle Schrift stücke, die ein Handelsgeschäft be treffen) verpflichtet.
Die Aufbe wah rung kann auf Daten trägern erfol gen, die verfügbar und jeder zeit
lesbar sein müssen (§§ 238 Abs. 2, 257 HGB). Wird die Geschäfts korres pondenz auf
Daten trägern archiviert, muss die IT deren geordnete Ablage und Auffindbarkeit
eben so wie die Les bar keit auch in Zu kunft und auch im Falle von Software-
wechseln sicher stellen.
Beteiligte und Interessenlagen 13
Beteiligte und Interessenlagen
Der Kreis der grundsätzlich an der Herstellung von IT-Compliance be-tei ligten Personen und Gruppen erweist sich als durchaus umfangreich. Auch wenn in der fachlichen Diskussion oftmals ein »Compliance Of-ficer« im Mittelpunkt steht, hat die aufbauorganisa to rische Gestaltung alle Be tei ligten einzubeziehen (s. Abb. 5) und ihre Auf gaben- und Verant-wor tungs teilung in Bezug auf IT-Compliance zu regeln.
Die Hauptverantwortung für IT-Compliance kommt der Unter-nehmens lei tung zu. Dies ergibt sich aus expliziten ge setz lichen Vor gaben sowie gene rel len Sorgfalts pflich ten der Unternehmens organe (zwecks Ver mei dung eines Orga nisa tions verschuldens).
Abb. 5 An IT-Compliance beteiligte Gruppen und Funktionen
Vor allem das KonTraG hat mit der persön li chen Inanspruchnahme von Vorstandsmitgliedern dafür ge sorgt, dass Com pliance heute die Auf-merk sam keit der Unternehmensleitung er langt. So drohen bei Ver stößen gegen Com pliance-Anforderungen die Ver wei gerung der Ent lastung (s. Bei spiel 1), eine Ab be ru fung, eine außerordentliche frist lose Kündi-gung oder gar eine per sön liche Haftung.
Die Unternehmensleitung muss zur Wahrnehmung ihrer Compliance-Verant wortung konzeptionelle und operative Aufgaben und die hierfür er for der lichen Befugnisse delegieren. Der Kreis der hierfür zur Ver fügung stehen den Funktionsträger hängt von der Unternehmensgröße, der Gesell-schafts form und der Branchenzugehörigkeit ab. In jedem Falle sind aber die IT-Abteilung und die Fachabteilungen als Hauptbeteiligte ein zu be ziehen.
Unternehmensleitung
IT-Abteilung
IT-Sicherheits-
management
IT-Risiko-management
IT-Vertrags-management
IT-Revision
ext. Wirtschafts-
prüfer
Datenschutz-beauftragter
Controlling Einkauf
Fach-abteilungen
Rechts-abteilung
Geschäftsprozess-management
Beteiligte und Interessenlagen14
■ Die IT-Abteilung und ihre Leitung bzw. der Chief Information Officer (CIO) haben den Großteil an Maßnahmen zur Erfüllung der Compliance-An for de rungen zu planen und durchzu führen, zumindest soweit es die informations- und kommunikations-technischen Mittel anbelangt. Hierbei sind die Entwicklung und der Betrieb von IT-Systemen selbst an Stan dards (wie der Infor-mation Technology Infra struc ture Li bra ry – ITIL) aus zurichten, oder die Anforderun gen aus Gesetzen (wie beispielsweise dem BDSG) sind direkt umzusetzen. Hierzu müssen IT-Kontrollen ein-ge führt wer den, entweder als prozessintegrierte Kon trollen ein-zelner IT-An wendun gen (z.B. Eingabeprüfungen) oder als gene-relle IT-Kon trol len, die auf die ge samte IT wirken. Beispiele für generelle IT-Kon trollen sind Benutzer berech ti gungskonzepte, Zugriffs schutzverfahren und Change-Manage ment-Ver fahren.
■ Auch die Fachabteilungen tragen eine Verantwortung für die Er-füllung von Compliance-Anforderungen – und zwar immer dann, wenn organi sa to rische oder personelle Maßnahmen ergriffen und ent sprechende Kon trollen eingeführt werden. Vor allem die »Aware ness« für IT-Com pli ance, insbesondere für Datenschutz und Daten sicher heit, muss bei den IT-Nutzern in den Fachabtei-lungen entwickelt werden.
In größeren Unternehmen ist weiterhin eine ganze Reihe von Stellen und Funktionen potenziell mit IT-Compliance befasst.
■ Die unternehmensinterne Rechtsabteilung stellt in der Regel im Auftrage der Unternehmensleitung die Einhaltung von rechtli-chen Vorgaben im Unter nehmen sicher. Die juristische Beurtei-lung gesetzlicher und ver trag li cher Anfor derungen an die IT ist eine Kernkompetenz der Rechts ab tei lung, der so mit eine wich tige Verantwortung auch für die IT-Compliance zu kommt.
■ Eine weitere Schnitt stelle ergibt sich zum Geschäftsprozessma-nagement hinsichtlich der Compliance von Geschäftsprozessen. Soweit Stel len mit spezialisierter Prozessverantwortung ein ge-richtet sind (sog. pro cess owner), ist zu prüfen, ob und ggf. in wie-weit ihr Ver ant wor tungsbereich um Aspekte der IT-Compliance zu er wei tern ist.
Beteiligte und Interessenlagen 15
■ Der oben beschriebene inhaltliche Zusammenhang zwischen IT-Risiko management und IT-Compliance erfordert auch auf ins-titutioneller Ebene eine Zusammenarbeit zwischen den entspre-chenden organisatorischen Ein hei ten. Soweit sich das Risikoma-nagement auf existenzgefährdende Unter nehmensrisiken konzen-triert, werden in Bezug auf die IT die Be rei che des Notfalls- und Kontinuitätsmanagements im Vordergrund stehen. Ein weiterer Bereich der Zusammenarbeit kann das Management von IT-Pro-jektrisiken sein, wenn für die Unternehmensentwicklung we sent-liche IT-Entwicklungen be troffen sind.
■ Ähnliches gilt für das IT-Sicherheitsmanagement. Zahlreiche Re-gelwerke (bspw. BDSG, ISO 27001, ITIL) stellen Anforderungen an die Sicherheit der IT-Systeme bzw. ihre Komponenten (z.B. IT-Infrastruktur, IT-An wen dungen, Daten, IT-Prozesse). Viele IT-Sicher heits lösun gen können dazu beitragen, Anforderungen der IT-Compliance zu erfüllen (wie Bei spiel 2 für das BDSG zeigt).
■ Mit dem Vertragsmanagement sind in manchen Unter nehmen anstelle der Rechtsabteilung die Einkaufs abteilung oder das Con-trolling befasst, so dass diese Stellen mitunter auch Überwachungs- und Steu e rungs auf gaben bei der Durchführung von IT-Verträgen wahrnehmen. Falls ver trag lich geregelte Leis tun gen im Rahmen von IT-Projekten erbracht werden, kann das Ver trags controlling auch Aufgabe des IT-Projekt manage ments sein.
■ Mit dem durch das Bundesdatenschutzgesetz in § 4f BDSG vor-ge schrie benen Datenschutzbeauftragten gibt es zudem eine Stelle im Unter nehmen, die bezogen auf das Gebiet des Daten schutzes bereits eine Com pliance-Funktion wahrnimmt.
■ Wenn Buchführung und Finanz transaktionen des Unternehmens IT-ge stützt erfolgen, ist die Ord nungs mäßigkeit der IT Gegenstand sowohl der externen Jahresabschlussprüfung als auch der inter-nen Revision. Hier zu haben beide Prüfungsinstanzen unter ande-rem die Ange messen heit und Wirksamkeit des IT-Kontrollsystems zu be urteilen, indem sie die Durch führung verschiedener IT-Kon-trollen prüfen. Hierbei orientieren sie sich an ent sprechenden Standards und Normen zum Prüf wesen, zur IT-Sicher heit und zum IT-Risiko management.
Beteiligte und Interessenlagen16
Neben den hier aufgeführten gibt es weitere Stellen und Funktionen, die sich nach Branchenerfordernissen richten. Auch hier gibt es häufig Bezü-ge zur IT-Compliance, sodass diese Stellen ebenfalls zu beteiligen sind.
Beispiel 5:
Das Wertpapierhandelsgesetz (WpHG) schreibt für Wertpapierdienst leis tungs unter-
nehmen (dies sind u.a. Kredit- und Finanzdienstleistungsinstitute) in § 33 Abs. 1 WpHG
die Ein richtung einer Compliance-Funktion vor. Diese hat darauf hinzuwirken, dass die
Verpflichtungen des WpHG vom Unternehmen und seinen Mit ar beitern eingehalten
werden. Hierzu hat sie u.a. eine Über wachungsfunktion wahrzunehmen, Compliance-
Richtlinien zu entwickeln, die Compliance-Orga nisation weiterzuentwickeln und der
Ge schäftsleitung Bericht zu er statten (nach [IIR 2003, S. 96]).
Das Interesse der Stelleninhaber und Funktionsträger an IT-Compliance wird sich nach dem Inhalt und dem Umfang der an sie delegierten Ver ant-wortung richten. In jedem Falle steht eine persönliche Haftung infrage, nicht nur für die Unternehmensleitung. Bei einer nicht regelkonformen Auf gaben aus füh rung können prinzipiell auch Mitarbeiter zur Ver ant-wortung gezogen und haft bar gemacht werden. Für ausführende Mit-arbeiter ergibt sich dies aus den Regelungen zur Arbeitnehmerhaftung (vgl. [Bitkom 2005, S. 6]).
In vielen Unternehmen stellt sich derzeit die Herausforderung, über-haupt erst einmal eine allgemeine Compliance-Funktion einzurichten, in die es wie de rum die Verantwortung für IT-Compliance zu integrieren gilt. In dieser Konstellation bietet sich für die Beteiligten die Chance, den eigenen Auf ga ben- und Verant wortungsbereich zu erweitern. Mitunter kön nen sich so auch neue Karriere pfade eröffnen. Auf der anderen Seite droht neue Konkurrenz um Ressourcen und Einfluss. Diese Un sicher-heiten gilt es bei der insti tu tio nellen Verankerung von (IT-)Com pliance im Unternehmen durch eine klare Aufgaben- und Verantwortungs teilung zu beseitigen. Diese Klärung zu ini tiie ren und durchzusetzen, bildet die zentrale Verantwortung der Unter neh mens leitung.
Nutzen von IT-Compliance 17
Nutzen von IT-Compliance
Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vor-schrif ten soll IT-Compliance ein Unternehmen vor allem vor wirtschaft-lichen Nach teilen als Folge von Rechts ver letzungen bewahren. Es sollen insbeson dere Schadens er satz pflichten, Stra fen, Buß- und Zwangsgelder, aber auch erhöhte Steu er zahlungen aufgrund von Schätzungen des Fi-nanzamts ver mie den werden. So kann beispielsweise ein Schaden entste-hen, wenn ein Unter nehmen im Rahmen einer ge richt lichen Auseinan-dersetzung beweis erheb liche Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nach kommen kann (vgl. [Bücking 2007, S. 17]). Wird im Zu sam men hang mit steuerrelevanten Unter lagen gegen Archi vie rungs pflichten ver stoßen, drohen Straf zahlungen wegen Steuer-ver kür zung. Zusätzlich zu diesen mone tären Schäden ist ein poten ziel ler Image schaden von Bedeutung. Dieser kann sich leicht ein stellen, wenn etwa gegen Daten schutz normen verstoßen wird oder Kunden daten miss-braucht werden. Folgen können eine nega tive Publizität, Nach teile bei der Vergabe öffentlicher Aufträge oder gar Kun den ab wan derungen sein.
Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden (s. Ab b. 6, vgl. [Böhm 2008, S. 26 f.]).
Abb. 6 Nutzen von IT-Compliance
Vermeidung von Nachteilen
Erhöhung des Wertbeitrags der IT
Erhöhung der IT-Qualität
Senkung der IT-Kosten
Erhöhung der IT-Sicherheit
Reduzierung von IT-Risiken
Nutzen von IT-Compliance
Nutzen von IT-Compliance18
■ Wertbeitrag Wenn die IT eines Unternehmens ihre Compliance nach wei sen kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des Unter nehmens wertes. Erweisen sich bestimmte Standards (z.B. Sicherheits zerti fika te) als Markteintrittsbarrieren, ist der Wert-beitrag offensichtlich. Ohne die Konformität zu derartigen ex-ternen Vorgaben könnten Umsatz chan cen nicht genutzt werden. Andererseits kann mangelnde IT-Com pliance zu Abschlägen bei der Bestimmung des Unternehmenswertes im Falle von Unterneh-menstransaktionen führen, wenn sich während einer Due-Dilli-gence-Prüfung IT-Compliance-Risiken offenbaren.
■ IT-Qualität Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höheren Qualität von IT-Prozessen bei. Dies ist ins besondere dann der Fall, wenn Compliance-Anforderungen und Kon trollen als Elemente des IKS systematisch auf einander abgestimmt wer-den. Hieraus resultiert eine höhere Transparenz, die die ge samte IT-Architektur umfasst und letztlich ein effektives Enterprise Ar-chitecture Management (EAM) unter stützt. Eine in diesem Sinne verbesserte Qualität führt zu einer Reduzierung der Kom plexität der IT-Infrastruktur und damit zu einer verbesserten Steue-rungsfähigkeit, aber auch Auditierbarkeit der IT.
■ IT-Sicherheit und IT-Risiken Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Be triebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicher heitsziele der Vertraulichkeit, Verfügbarkeit und Inte-grität. Hieraus resul tieren Synergiepotenziale, die bei einer ab-gestimmten Vorgehens weise realisiert werden können. Auf diese Weise entfaltet IT-Compliance zu sätz liche Nutzenpotenziale für die IT-Sicher heit. Glei ches gilt für das IT-Risikomanagement. Auch dieses wird durch oftmals gleich gerichtete Maß nahmen der IT-Compliance ver stärkt.
■ IT-Kosten Die verschiedenen Maßnahmen der IT-Compliance verursa-chen selbst ver ständlich Kosten. Da die Maßnahmen aber auch aus Gründen der Ri si ko reduzierung und der Erhöhung der IT-Sicherheit erfolgen, lassen sich die damit verbundenen Kosten
Nutzen von IT-Compliance 19
oft nicht eindeutig der IT-Compliance zu rech nen. Dies gilt na-türlich auch umgekehrt für die Kosteneinsparungen, die sich u.a. aus der Automatisierung manueller Arbeitsabläufe (bspw. bei der Überwachung oder im Reporting), geringeren Kosten in der IT-Ad ministration und -War tung oder bei der Durchführung von Prüfungs handlungen ergeben. Der ROI von Maßnahmen der IT-Compliance kann – wenn überhaupt – somit nur in einem größeren Zusammenhang er mittelt wer den. Trotzdem gilt, dass IT-Compliance zwar Investitionen er fordert, aber auch zur Redu-zierung von IT-Kosten beiträgt.
IT-relevante Regelwerke20
IT-relevante Regelwerke
Klassifikation der RegelwerkeEs lassen sich grundsätzlich vier Gruppen von Regelwerken unterschei-den, die in ihrer Summe ein Grundgerüst für eine systematische Analyse von Com pliance-Anforderungen darstellen:
■ rechtliche Vorgaben, d.h. Rechtsnormen (also vom Gesetzgeber er lasse-ne Gesetze sowie auf deren Grund lage von den Verwaltungen er lasse ne Rechtsverordnungen), Rechtsprechung sowie Ver waltungsvorschriften und weitere Regel werke, auf die in Gesetzen, Rechtsverordnungen und Verwal tungs vor schriften verwiesen wird oder die von der Recht spre-chung zur Auslegung herangezogen werden;
■ Verträge, die ein Unternehmen mit Kunden, Lieferanten und sons-tigen Marktpartnern abschließt und die IT-relevante Vereinbarun-gen enthalten;
■ unternehmensexterne, auf IT-bezogene Regelwerke, wie Normen, Standards, Zertifikate oder Richtlinien vielfältiger Institutionen;
■ unternehmensinterne Regelwerke, wie Un ternehmensrichtlinien, Orga ni sations- oder Ver fahrens an wei sungen, Service Level Agree-ments (SLAs) oder Hausstandards, soweit sie IT-rele vante Vorgaben enthalten.
Mit der Überlegung, dass sowohl der Bindungsgrad als auch das Risiko bei einem Verstoß in der genannten Reihenfolge tendenziell abnehmen, ergibt sich das in Abbildung 7 dargestellte »Zwiebelmodell«.
Bei Rechtsnormen und Verträgen ergeben sich höhere Risiken, weil hier oft ein mo ne täres Straf maß entweder gesetzlich oder ver trag lich geregelt ist bzw. aus Vertragsver letzun gen teilweise bestands gefähr den-de Schadens er satz pflichten resultieren kön nen. Außerdem kommen in diesen Fällen häufig Vertrauensverlust und Image schäden hinzu, die das Schadensausmaß zu sätzlich erhöhen. Durch straf ver folgende Institutio-nen bzw. Vertrags part ner, die ihre Interessen wah ren wollen, ergibt sich auch eher die Wahr schein lich keit, dass ein Ver stoß re kla miert und ein Anspruch verfolgt und durchgesetzt wird.
Bei den externen Regelwerken ist zu beachten, dass diese ggf. auf-grund Verweis oder Heran ziehung zur Auslegung der Rechtsnormen
IT-relevante Regelwerke 21
letztlich deren Bindungs wirkung und das daraus resultierende Risiko tei-len. Die Regelwerke dieser Gruppe erlangen somit dann eine höhere Bin-dungswirkung, wenn ihre Einhaltung von Dritten (z.B. Wirtschaftsprü-fern, Kunden) eingefordert wird.
Abb. 7 Zwiebelmodell für Compliance-relevante Regelwerke
Rechtliche Vorgaben
Gesetze und RechtsverordnungenIm Zentrum der rechtlichen Vorgaben stehen Rechtsnormen, also Gesetze und Rechtsverordnungen. Die Notwendigkeit zur Einhaltung der IT-Com-pliance ergibt sich nicht nur aus Gesetzen, die sich schon vom Namen her offen sichtlich auf die IT beziehen, wie beispielsweise das Bundesdaten-schutz gesetz, das Signaturgesetz (SigG) oder das Telemediengesetz (TMG). Vielmehr regeln zahlreiche weitere Ge setze den IT-Einsatz im Unterneh-men, z.B. das Betriebsverfassungsgesetz (BetrVG), das Strafgesetzbuch (StGB) sowie hinsichtlich der Buchführungs- und steuerlichen Pflichten das Handels gesetzbuch (HGB) und die Abgabenordnung (AO) nebst Teilen der einzelnen Steuergesetze. Vertragliche Anforderungen sind insbesondere im Bürger lichen Gesetzbuch (BGB) geregelt. Weiterhin zählen zu dieser Gruppe die Rechtsentwicklungen, die sich auf EU-Ebene vollziehen (z.B. BASEL II oder die 8. EU-Richtlinie, auch kurz »Euro-SOX« genannt).
RechtsprechungZu den rechtlichen Vorgaben zählt weiterhin die Rechtsprechung, die die Rechts normen auslegt und damit wesentlich deren Inhalt bestimmt. Dies be trifft in besonderem Maße sogenannte unbestimmte Rechtsbegriffe
Verträge
externe Regelwerke
interne Regelwerke
Rechtsnormen
h = hoch n = niedrig
Bindung n h Risiko n h
IT-relevante Regelwerke22
bzw. Gene ral klauseln. Beispiele hierfür sind die »übliche Beschaffenheit«, die das Vor liegen eines Mangels im Werkvertragsrecht bestimmt, oder die »im Verkehr erforderliche Sorgfalt«, deren Missachtung den Vorwurf fahrlässigen Ver haltens begründet.
Beispiel 6:
Das Oberlandesgericht Hamm hat eine unterlassene Datensicherung bei Schäden,
die durch Datenverluste infolge von Programmfehlern entstehen, als Mit ver-
schulden gewertet. In dem entschiedenen Fall hatte dies zur Folge, dass die
Geltendmachung von Schadens ersatzansprüchen verhindert wurde (nach [OLG
Hamm 2003]).
Verwaltungsvorschriften Auch ohne dass es sich um Rechtsnormen im engeren Sinne handelt, sind für IT-Compliance ferner Regelwerke relevant, die von den zuständigen (Auf sichts-)Behörden zur Interpretation und Ausführung der Rechtsnor-men auf ge stellt oder erklärtermaßen herangezogen werden. Diese Regel-werke be wir ken rechtlich eine Selbstbindung der Ver waltung, in dem sie die Anwen dung der Rechtsnormen durch die Verwaltung be stim men.
Beispiel 7:
Sowohl die »Grundsätze ordnungsmäßiger DV-gestützter Buchführungs sys-
te me« (GoBS) als auch die »Grundsätze zum Datenzugriff und zur Prüf bar keit
digitaler Unterlagen« (GDPdU) wurden vom Bundesministerium für Finan-
zen als Verwaltungsanweisung erlassen. Sie interpretieren die Rege lungen der
Abgabenordnung zu den Anfor derun gen an die ordnungsgemäße Buchführung
beim Einsatz IT-gestützter Buch haltungssysteme und bei Verwendung digitaler
Unterlagen.
In Bezug genommene RegelwerkeRegelwerke, die als solche keinen Rechtsnormcharakter haben und so-wohl von Verwaltungen wie auch von privatrechtlichen Institutionen (z.B. dem DIN Deutsches Institut für Normung) stammen können, haben für die IT-Compliance die gleiche Bedeutung wie Rechtsnormen, wenn sie durch aus drückliche Verweisung in diese einbezogen werden.
IT-relevante Regelwerke 23
Beispiel 8:
Die der MaRisk (Mindestanforderungen an das Risikomanagement) zuge hörige
Erläuterung verweist auf die vom Bundesamt für Sicherheit in der Informations-
technik (BSI) herausgegebenen IT-Grundschutzkataloge (vgl. [BaFin 2006, S. 15]). Dies
hat zur Folge, dass Kredit institute, um keinen Be an standungen der BaFin (Bundes-
an stalt für Finanzdienstleistungsaufsicht) aus gesetzt zu sein, ein Sicherheits niveau
entsprechend den IT-Grund schutz katalogen realisieren müssen.
VerträgeVertragsverstöße stellen für ein Unternehmen operationelle Risiken dar, die es mittels einer effektiven und effizienten Vertragssteuerung zu mana-gen gilt. Zwei Gruppen von Verträgen sind hier von Bedeutung:
■ Verträge allgemeiner Art, deren Vertragsgegenstand sich nicht auf IT-Belange konzentriert, die aber einzelne IT-relevante Rege-lungen ent hal ten (beispielsweise zum Austausch oder zur Aufbe-wahrung von Infor ma tionen) oder die dem Vertragsdokument als IT-Objekt einen schutz wür di gen Status zuerkennen (was gewöhn-lich durch eine Geheim haltungs ver ein barung geschieht);
■ spezifische IT-Verträge, deren Vertragsgegenstand sich auf IT-Leistun gen bezieht und die dadurch direkt relevant sind für IT-Compliance.
Während das Vertragscontrolling Leistungserbringer und -empfänger kon ti nuier lich im Auge behalten muss, stehen aus Compliance-Sicht nur die jeni gen vertraglichen Vereinbarungen im Fokus, aus denen sich IT-spezifische Pflichten und Obliegenheiten des Unternehmens als Ver-tragspartner ergeben. Diese beziehen sich z.B. auf die Einhaltung be-stimmter End- und Zwi schen termine (Meilensteine), die Erfüllung von Mitwirkungs- und Dokumen ta tions pflichten sowie Geheimhaltungsabre-den (vgl. [Klotz & Dorn 2005, S. 101]). In Bezug auf das Risikomanage-ment stehen solche Rege lungen im Vorder grund, aus denen sich Risiken hin sicht lich potenzieller Fristsetzungen (Inver zug setzung), Schadenser-satzansprüche oder Vertragsstrafen ergeben.
IT-relevante Regelwerke24
Unternehmensexterne Regel werkeIn die Gruppe der unternehmensexternen Regelwerke fallen viele derje-nigen Regelwerke, die derzeit im IT-Management große Aufmerksam-keit erfahren, vor allem die als »Framework«, »Referenzmodell« oder »Best-Practise-Mo dell« gehandelten Standards, wie CMMI (Capabili-ty Maturity Model Inte gra tion), ITIL und COBIT (Control Objectives for Information and Related Tech no logy). Insgesamt sind die in dieser Gruppe vertretenen Regel werke höchst unter schiedlich. Die Spannbreite reicht von Richtlinien supra natio na ler Organisa tio nen, wie der OECD, über nationale und inter nationale Normen (z.B. ISO 20000, ISO 2700x), Standards inter nationaler und nationaler Ver bands orga ni sationen und behördlicher Ein richtungen bis hin zu Empfeh lun gen oder Kon zepten, die sich über die Zeit durch Infor mations- und Er fah rungs aus tausch in der Fachwelt herausgebildet haben.
Aus Sicht der IT-Compliance sind in dieser Gruppe vor allem Regel-wer ke von hoher Relevanz, die als Basis für Testierungen oder Zerti-fi zie run gen dienen. Hierzu zählen vor allem die bereits erwähnten Prüfungsstandards der Wirt schafts prüfer (in Bezug auf die Abschlussprü-fung sind dies IDW PS 330 und IDW RS FAIT 1 bis 3).
Unternehmensinterne Regel werkeBei unternehmensinternen Regelungen ist die Bindungswirkung auf das-jeni ge Unternehmen beschränkt, das die jeweilige Regelung in Kraft setzt. Bei spiele für unternehmensinterne Regelungen aus dem IT-Bereich sind in terne IT-Richtlinien oder -Verfahrensvorgaben zur IT-Sicherheit (z.B. IT-Sicher heitsvorschriften, E-Mail-Richtlinien, Regelungen zum Umgang mit Pass wörtern etc.). Aber auch zwischen der IT-Abteilung und den Fach ab tei lun gen vereinbarte Service Level Agreements zählen zu dieser Gruppe.
Interne Regelwerke sind aus zweierlei Hinsicht Compliance-relevant. Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anfor-de run gen aller anderen Regelwerke sicherzustellen, indem sie konkrete Hand lungs an weisungen für die Organisationsmitglieder vorgeben. Hier-durch dokumen tieren sie zum anderen nach außen, dass externen Ver-pflichtungen, ins be sondere rechtlichen Vorgaben, nachgekommen wird.
IT-relevante Regelwerke 25
Beispiel 9:
Die ITIL (Information Technology Infra struc ture Li bra ry) ist eine um fassen de, nicht
proprie täre, öffent lich publizierte Ver fahrens em pfehlung für die Pla nung, den
Betrieb, die Über wachung und Steuerung von IT-Services. Erar beitet wurde die
ITIL durch die Central Com puter and Tele commu ni cations Agency (CCTA), eine
IT-Dienst leistungs orga ni sation der bri ti schen Re gierung, in Zusam men arbeit mit
Experten, Be ratern und erfahrenen Be rufs praktikern. Den Kern bilden in der ak-
tu ellen dritten Version fünf Bücher. ITIL ver steht sich als Best-Practise-Sam m lung.
Eine Zer ti fizie rungsmöglich keit gibt es auf einer indivi du el len Ebene bzw. in sti tu-
tionell nach ISO 20000. Heute besteht die ITIL-»Be we gung« aus allen Ingredienzen
eines pro fessio nel len Manage mentkon zeptes: Trai nings angebote inkl. quali-
fizierter Zer tifi kats ab schlüsse, Beratung und unabhängiger Er fah rungs austausch
in ner halb spe zieller Organisa tio nen, Um setzungs hilfen und Softwaretools.
Bei COBIT (Control Objectives for Information and Related Tech no logy)
handelt es sich um ein Referenzmodell (»Framework«), das Unter nehmen eine
methodische Unterstützung bietet, um IT-Ressourcen (d.h. An wen dungen,
Informationen, IT-In fra struk tur und Per so nal) für die Er reichung von Wettbewerbs-
vor teilen zu nutzen (nach [ITGI 2005, S. 12]). Seit 1993 wurde COBIT vom inter na-
tio nalen Prü fungs verband ISACA (Infor ma tion Sys tems Audit and Control Asso-
cia tion) ent wickelt und erst mals Ende 1995 ver öffent licht. Aktuell liegt COBIT in
der Version 4.1 vor (die deut sche Aus gabe in der Version 4.0). Die erste Version
von COBIT legte den Schwer punkt auf sogenannte Kontroll ziele und adres sier te
damit vor allem die Arbeit von Wirtschaftsprüfern. Im Ver lauf der letz ten Jahre
ent wickelte sich COBIT zunehmend zum Manage ment ins tru ment, mit dem die
IT nicht nur nach gelagert geprüft, sondern auch proaktiv ge stal tet wer den kann.
COBIT berück sichtigt wich tige Normen und Standards (z.B. ITIL, CMMI, ISO/IEC
17799) und kann auf grund seiner über ge ordneten Ma nage ment- und Steue-
rungs sicht als Inte gra tor die nen, wenn ein Unternehmen diese Nor men und Stan-
dards gleich zeitig nut zen will (vgl. [ITGI 2005, S. 197]).
Management der IT-Compliance26
Management der IT-Compliance
Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die heu te fast durchgängige IT-Unter stützung aller Unternehmensprozesse sind Compliance-Anfor derun gen nicht mehr lediglich auf steuerliche oder daten schutzrechtliche Belange be grenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens »com pliant« mit verschiedensten Rege lungen sein muss. Um den diversen Transparenz-, Prozess-, Nach weis- und Kontroll an for de rungen nachzukommen, sind Maßnahmen zu er grei fen, die letzt lich Auswirkungen bis auf jeden ein-zelnen Arbeitsplatz haben.
Hierbei gilt es vor allem die Com pliance-Anforderungen der ver schie-denen Regelwerke aufeinander ab zustimmen, um Doppelarbeit zu ver-meiden. Insofern bilden die Identifizie rung von Compliance-relevanten Regelwerken sowie die Ab leitung und Doku men ta tion der Compliance-Anforderungen, die vom Unter nehmen mit ggf. unter schied licher Priori-tät einzu halten sind, den ersten und wich tigsten Auf gaben bereich eines Manage ments der IT-Com pliance (vgl. [Klotz 2007, S. 17], Abb. 8(1)). Weitere Auf gabenbereiche sind:
■ die Schaffung einer betrieblichen Organisation von Prozessen, Verfah rens rege lungen, Delegationen und (möglichst weitgehend automa ti sier ten) Kontrollen zur Über wachung der Einhaltung al-ler Anforderungen der IT-Compliance (Abb. 8(2));
■ die Information aller in irgendeiner Form im Hinblick auf die be-ste hen den Ver pflichtungen handelnden Betriebsangehörigen und ggf. ent spre chend ein gesetzter Dritter über die einzuhaltenden Regelungen (Abb. 8(3));
■ die Dokumentation sowohl der Information als auch der Organi-sation und insbe son dere deren Überwachung (Abb. 8(4));
■ die Einrichtung eines Change-Managements zur Reaktion auf neue Ent wicklungen der Anforderungen, z.B. innerhalb der aktu-ellen Recht spre chung oder erkannter Compliance-Schwach stellen und -Risiken (Abb. 8(5)).
Management der IT-Compliance 27
Die ablauforganisatorische Gestaltung dieser Aufgaben führt zu den wesent lichen IT-Compliance-Prozessen, die den Kern eines Management-systems für IT-Compliance bilden (s. Abb. 8).
Abb. 8 Managementsystem für IT-Compliance
Alle Compliance-Aktivitäten haben sich an den Zielen der IT-Compliance aus zurichten, die sich zwar generell auf die Erfüllung von Vorgaben rich-ten, aber hinsichtlich der relevanten Re gelwerke sowie der weiteren Ziel-setzun gen unternehmensspezifisch zu kon kre tisieren sind. Maßnahmen zur Her stellung von IT-Compliance sind mit dem GRC-Management des Unter nehmens zu koordinieren und durch ein Berichtswesen zu er gän-zen, das die Unternehmensleitung über den Status der Zielerreichung, Com pliance-Schwach stellen und -Risiken sowie wesentliche Projekte der IT-Compliance unterrichtet. Zu dem sind die IT-Compliance-Prozesse auf der Basis einer festgelegten und kommuni zier ten Aufgaben- und Ver ant -wortungsteilung aus zuführen und durch Methoden und Tools zu unter-stützen.
IT- Compliance-Ziele
GRC-Koordination
IT-Compliance-Berichtswesen
Methoden und
Tools
Aufgaben- und
Verant- wortungs-
teilung
Erfüllung von Vorgaben Steigerung des Wertbeitrags der IT Erhöhung der IT-Qualität …
(1) (2) (3) (4) (5)
Ausblick28
Ausblick
IT-Compliance zeigt sich im Vor han den sein und Funktionieren spe zi fi-scher in for mations- und kom munikations tech ni scher Einrich tun gen, im Vorliegen von Not fallplänen, System architekturen oder Dokumentatio-nen von Prüf hand lungen, im kon kre ten Um gang mit Daten und IT-Sys-temen, in au to ma tisierten Kontrollen und manuellen Prüfprozeduren, Zugangs kon zep ten und Sicherheitsklassifizierungen, in der Möglichkeit eines kurz fris ti gen Daten zugriffs, im Vorhandensein von IT-Richtlinien und ihrer nachvoll zieh baren Befolgung u.v.a.m. Viele der genannten Ob-jekte, Mecha nis men und Hand lungen sind jedoch ebenso Gegenstand eines IT-Risiko- und eines IT-Sicher heitsmanagements. IT-Compliance steht mit diesen beiden Be rei chen des IT-Managements in engem Zusam-menhang, lässt sich aber den noch nicht auf einen oder beide dieser Be-reiche zurückführen. Die Be fol gung ver bind lich vor gegebener oder selbst gewählter professioneller Re gel werke wird in der Ge samtheit weder vom IT-Risiko- noch vom IT-Sicher heits manage ment sicher gestellt.
Im Zentrum eines Managements der IT-Compliance muss das Be-mühen stehen, die Anforderungen der verschiedenen Regelwerke mitein-ander abzu stim men, um Komplexität zu reduzieren und Doppelarbeit zu vermeiden. Erst auf die ser Basis sollten Kontrollen zur Überwachung der Einhaltung von Compliance-Anforderungen kon zi piert und – wo möglich – automatisiert wer den. Hierbei soll ten integrierte technische Lö sun gen eingesetzt wer den. Ansonsten dro hen unkoordinierte Vorge-hensweisen und isolierte Lösun gen, die im Nachgang nur mit ungleich größerem Aufwand zu inte grie ren sind.
Die aktuelle Herausforderung für Unter neh men besteht darin, die mit IT-Com pliance ver bundene Verant wor tung zu erfassen und strukturell, pro zes su al, methodisch und instru men tell um zusetzen. Dies erfordert die Initiative und den Rückhalt der Unterneh mens leitung – in ihrem eigenen Interesse.
Literatur 29
Literatur
[BaFin 2006] Bun des an stalt für Finanz dienst leistungsaufsicht (BaFin): Erläute-run gen zu den Mindestanforderungen an das Risikomanagement (MaRisk), Fassung vom 04.05.2006, AT 7.2, verfügbar unter: http://www.bundesbank.de/download/bankenaufsicht/pdf/marisk/060504_erl.pdf (Zugriff am 02.01.2009).
[Bitkom 2005] Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.: Matrix der Haftungsrisiken – IT-Sicherheit, Pflichten und Risiken. April 2005, verfügbar unter: http://www.bitkom.org/de/themen_gremien/36737_31034.aspx (Zugriff am 02.01.2009).
[Böhm 2008] Böhm, Markus: IT-Compliance als Triebkraft von Leistungssteige-rung und Wert bei trag der IT. In: HMD – Praxis der Wirtschafts infor matik, 2008, Jg. 45, Heft 263, S. 15-29.
[Bücking 2007] Bücking, Jens: »Compliance« in Privat wirt schaft und öffentlicher Ver waltung, ins be sondere bei E-Mails und digitalen Dokumenten: Rechts-fragen der Archi vie rung und Beweisverwertbarkeit, White paper, herausgege-ben von Fujitsu Siemens Com pu ters, März 2007.
[Hauschka 2007] Hauschka, Christoph E.: § 1, Einführung. In: Hauschka, Ch. E. (Hrsg.): Corporate Compliance – Hand buch der Haftungsvermeidung im Unter nehmen. Beck, München, 2007, S. 1-25.
[IIR 2003] IIR – Deutsches Institut für Interne Revision: Compliance-Orga-nisation und Wert papierdienstleistungsgeschäft – Revisionsleitfaden für Wertpapier dienst leister. IIR Schriftenreihe 35, Erich Schmidt, Berlin, 2003.
[ITGI 2005] IT Governance Institute (ITGI): COBIT 4.0, Deutsche Ausgabe, Rolling Meadows: ITGI 2005, verfügbar unter: http://www.isaca.at/Ressourcen/CobiT% 204.0%20Deutsch.pdf (Zugriff am 02.01.2009).
[Johannsen & Goeken 2007] Johannsen, Wolfgang; Goeken, Matthias: Referenz-modelle für IT-Governance – Strategische Effektivität und Effizienz mit COBIT, ITIL & Co. dpunkt.verlag, Heidel berg, 2007.
[Klotz 2007] Klotz, Michael: IT-Compli ance – auf den Kern reduziert. In: IT-Gover nance, 2007, Jg. 1, Heft 1, S. 14-18.
[Klotz & Dorn 2005] Klotz, Michael; Dorn, Dietrich-W.: Controlling von IV-Be-schaffungsverträgen – Bedeutung, Ziele und Aufgaben. In: HMD – Praxis der Wirt schaftsinformatik, 2005, Jg. 42, Heft 241, S. 97-106.
Literatur30
[Klotz & Dorn 2008] Klotz, Michael; Dorn, Dietrich-W.: IT-Compliance – Begriff, Um fang und rele van te Re gelwerke. In: HMD – Praxis der Wirtschafts infor-matik, 2008, Jg. 45, Heft 263, S. 5-14.
[LG München I 2007] Landgericht München I, Urteil vom 05.04.2007 – 5 HKO 15964/06.
[Meyer et al. 2003] Meyer, Matthias; Zarnekow, Rüdiger; Kolbe, Lutz M.: IT-Governance – Begriff, Status quo und Bedeutung. In: Wirtschafts-informatik, 2003, Jg. 45, Nr. 6, S. 445.
[Michels & Krzeminska 2006] Michels, Thomas; Krzeminska, Anna: Sarbanes-Oxley Act und Six Sigma als Instru men te des Prozess-Controllings bei der AXA Konzern AG. In: v. Werder, A.; Stöber, H.; Grundei, J. (Hrsg.): Or ga-nisations-Controlling – Konzepte und Praxisbeispiele. Gabler, Wiesbaden, 2006, S. 135-151.
[Neundorf 2007] Neundorf, Lutz: Daten schutz. In: Hauschka, Ch. E. (Hrsg.): Cor po rate Com pliance – Handbuch der Haftungsvermeidung im Unterneh-men. Beck, München, 2007, S. 593-612.
[OLG Hamm 2003] Oberlandesgericht Hamm, Urteil vom 01.12.2003, 13 U 133/03.
[Teubner & Feller 2008] Teubner, Alexander; Feller, Tom: Informationstechno-logie, Gover nance und Compliance. In: Wirtschaftsinformatik, 2008, Jg. 50, Nr. 5, S. 400-407.
[Weill & Woodham 2002] Weill, Peter; Woodham, Richard: Don’t Just Lead, Govern: Implementing Effective IT Governance, CISR Working Paper No. 326, MIT, Center for Infor ma tion Systems Research November 2002, p. 1, verfügbar unter: http://mitsloan.mit.edu/cisr/papers.php (Zugriff am 02.01.2009).
Kompetenz, über die man spricht.
Qualifi zieren Sie sich mit dem Dual-Zertifi kat der Frankfurt School of Finance & Management und der ISACA. Informieren Sie sich über die Möglichkeiten, wie IT-Governance Eingang in die betriebliche Praxis fi nden kann. � IT-Alignment, IT-Compliance� Wertbeitrag der IT� IT-Risikomanagement� IT-Governance mit COBIT� Service- und Sicherheitsmanagement� Frameworks im COBIT-Umfeld
(CMMI, VAL IT, PMBOK)� Ergänzende Methoden und weitere Entwicklungen
www.frankfurt-school.de/it-governance
Investieren Sie in Ihre Zukunft. Buchen Sie jetzt Ihre Teilnahme.
Weitere Informationen: Tel. 069 154008-184
WIE ERFAHREN SIE MEHR?
Wenn Sie mit Systementwicklung, Systemsicherheit, Qualitätskontrolle oder dem Betrieb oder der Überwa-chung einer Computerinstallation zu tun haben oder dafür verantwortlich sind, werden Sie bestimmt von ISACA profitieren.
Weiteres erfahren Sie unter:
Internet: www.isaca.de sowie unter www.isaca.org
Vereinsadresse: ISACA German Chapter e.V. Postfach 18 03 99 60084 Frankfurt | Main
E-Mail: [email protected]
Berufsverband der IT-Revisoren & IT-Sicherheits-Manager
IT-GovernanceIT-Governance ist das offizielle Organ des German Chapter of »The Information System Audit and Control Association« e.V. (ISACA)Erscheinungsweise:2 Ausgaben pro JahrISSN: 1864-6557
Praxis derHMDHeft 263
Oktober 2008
Wirtschaftsinformatik
dpunkt.verlag
Knut Hildebrand . Stefan Meinhardt (Hrsg.)
Û Wertbeitrag von IT-Compliance
Û Information Lifecycle Management
Û Automatisierung von Compliance
Û Compliance Reporting
Û IT-Outsourcing
Û IT-Compliance im Mittelstand
Û Zugriffs- und Zugangskontrollen
Û SAP GRC Risk Management
HMD – Praxis der WirtschaftsinformatikHMD richtet sich an Fach- und Führungskräfte in der IT, im Software Engineering und an alle, die Wirtschaftsinformatik praxisnah studieren wollen.Erscheinungsweise:6 Ausgaben pro JahrISSN: 1436-3011
IT Service Management Forum Deutschland e.V.
itSMF
Zeitschrift des itSMF Deutschland e.V.
Heft 6 |November 2008 |3. Jahrgang |ISSN 1861-9258 |http://itsm.dpunkt.de
Veränderungsmanagement
Heft 6 | November 2008 | 3. Jahrgang | ISSN 1861-9258 | http://itsm.dpunkt.de
Veränderungsmanagement
CITIL = CMMI+ITIL
Service-Desk 2.0
IT-Serviceorientierung
Lizenzmanagement
it-Service-Managementit-Service-Management ist das offizielle Organ des IT Service Management Forum (itSMF) Deutschland e.V.Erscheinungsweise:2 Ausgaben pro JahrISSN: 1861-9258
Know-how für IT-Profis – Zeitschriften im dpunkt.verlag
Wolfgang JohannsenMatthias Goeken
Referenzmodelle für IT-GovernanceStrategische Effektivität und Effizienz COBIT, ITIL & Co
2007, 280 Seiten€ 44,00 (D)ISBN 978-3-89864-397-9
Georg HerzwurmWolfram Pietsch
Management von IT-ProduktenGeschäftsmodelle, Leitlinien und Werkzeugkasten für software intensive Systeme und Dienstleistungen
2009, 388 Seiten€ 42,00 (D)ISBN 978-3-89864-562-1
Martin Kütz
Kennzahlen in der ITWerkzeuge für Controlling und Management
3., überarbeitete und erweiterte Auflage
2009, 364 Seiten, € 42,00 (D)ISBN 978-3-89864-579-9
Gerd Nicklisch Jens Borchers Ronald Krick Rainer Rucks
IT-Near- und -Offshoring in der PraxisErfahrungen und Lösungen
2008, 308 Seiten€ 42,00 (D)ISBN 978-3-89864-533-1
dpun
kt.it-business
Christoph Zahrnt
IT-Projektverträge: Erfolgreiches Management2009, 334 Seiten, € 39,00 (D)
ISBN 978-3-89864-560-7
Frank R. Lehmann
Integrierte Prozessmodellierung mit ARIS®2008, 246 Seiten€ 32,00 (D)
ISBN 978-3-89864-497-6
Christoph Zahrnt
IT-Projektverträge: Rechtliche Grundlagen2008, 432 Seiten, € 49,00 (D)
ISBN 978-3-89864-474-7
Christian Setzwein Monika Setzwein (Hrsg.)
Turnaround- Management von IT-ProjektenKrisen meistern, neue Stärken gewinnen
2008, 314 Seiten€ 42,00 (D)
ISBN 978-3-89864-439-6
dpun
kt.it-business
Michael Klotz
IT-ComplianceIT-Compliance ist eines der zentralen Themen der IT-Governance. Die stän-dige Zunahme an Regelwerken (Gesetze, Verordnungen, Normen, Standards, Verträge, Richtlinien etc.) auch für die IT führt für Unternehmen aller Größen-ordnungen zu einer Intransparenz der zu beachtenden Regeln. Hieraus resul-tiert u.a. eine beträchtliche Unsicherheit in Bezug auf die Risiken potenzieller Regelverstöße. Zielsetzung der IT-Compliance ist es, derartige Risiken durch Sicherstellung der Befolgung von Compliance-Anforderungen zu vermeiden.
Diese Broschüre liefert Ihnen einen Überblick über alle Aspekte der IT-Compli-ance. Sie zeigt den Zusammenhang zwischen IT-Compliance, IT-Governance und IT-Risikomanagement auf, sodass Sie den Nutzen von IT-Compliance für Ihr Unternehmen besser einschätzen können. Darüber hinaus werden die relevanten Regelwerke erläutert, die eine Einhaltung der wichtigen Vorgaben nachweislich sicherstellen. Auf dieser Basis kann ein Compliance-Manage-ment für die IT etabliert werden, das die verschiedenen beteiligten Personen und Gruppen im Unternehmen einbezieht und koordiniert.
Art.-Nr.: 077.95730 www.dpunkt.de
