IT-Compliance
Einleitung
Informationstechnologie (IT) ist ein wesentlicher Bestandteil der Geschäftsstrategie vieler Unternehmen und wird zur Unterstützung von Geschäftsprozessen eingesetzt. Durch diese starke Abhängigkeit steigen die betrieblichen Anforderungen an die IT-Unterstützung der Geschäftsprozesse. Gleichzeitig muss IT auch vermehrt gesetzliche und andere regulatorische Vorgaben erfüllen. Diese Vorgaben stellen den Gegenstand der IT-Compliance dar.
Die Anzahl der IT-Compliance-Anforderungen, die beispielweise aus Gesetzen, Richtlinien, Verträgen oder Normen resultieren, ist in den letzten Jahren gestiegen [1]. Dadurch erhöht sich die Gefahr einer Intransparenz bei der Erfüllung von nationalen und internationalen Compliance-Anforderungen an die IT. Unternehmen sind somit verstärkt dem Risiko potenzieller Regelverstöße ausgesetzt und müssen dadurch bei der Erfüllung von IT-Compliance-Anforderungen systematisch vorgehen. Berühmte Vorkommnisse bzw. Regelverstöße aus der Praxis, wie beispielweise aktuelle Datenschutzskandale bei Sony, Lidl, der Deutschen Bahn oder der Deutschen Telekom, verdeutlichen die Bedeutung von IT-Compliance für das IT-Management [2,3]. Laut einer aktuellen Studie des Instituts ibi research nehmen über 60% der befragten IT-Manager an, dass die Bedeutung von IT-Compliance in den nächsten Jahren weiterhin zunehmen wird [4].
Im Rahmen des Beitrags werden zuerst die zentralen Begrifflichkeiten erläutert. Anschließend werden die wesentlichen IT-Compliance-Anforderungen exemplarisch dargestellt und ein generischer IT-Compliance-Prozess zur nachweislichen Erfüllung von Vorgaben beschrieben.
Begriffsdefinitionen
Unter Compliance wird im Allgemeinen die Befolgung oder Einhaltung von Regeln, Gesetzen und Vorschriften verstanden. IT-Compliance ist ein Teilbereich der Compliance auf der Gesamtunternehmensebene, der sämtliche gesetzliche und andere regulatorische Vorgaben hinsichtlich des betrieblichen Einsatzes von IT adressiert. IT-Compliance kann aus vier Perspektiven betrachtet werden [5]:
- IT-Compliance als Verhalten, bei dem von den Unternehmensmitgliedern sämtliche für die IT relevanten Vorgaben beachtet und erfüllt werden. Die Verhaltensvorgaben können explizit in Form eines Verhaltenskodex festgeschrieben werden. Der Kodex dient als Orientierung für das regelkonforme Verhalten der Mitarbeiter.
- IT-Compliance als Zustand, in dem sämtliche für die IT relevanten Vorgaben nachweislich eingehalten werden. Die Notwendigkeit der Nachweisbarkeit ergibt sich aus der Verpflichtung gegenüber internen (z.B. die interne Revision) und externen (z.B. die Bundesanstalt für Finanzdienstleistungsaufsicht) Interessengruppen.
- IT-Compliance als Managementsystem, das im Kern aus dem IT-Compliance-Prozess besteht. Das Management der IT-Compliance umfasst typischerweise die Identifikation der relevanten Regelwerke, die Ableitung der Compliance-Anforderungen, die Implementierung und Überwachung geeigneter Maßnahmen zur Erfüllung der Compliance-Anforderungen sowie die daraus resultierende Berichterstattung.
- IT-Compliance als Institution, die für die Durchführung bzw. Übertragung von Aufgaben und die Zuweisung von Verantwortung an alle Betroffenen zuständig ist. Hier geht es nicht nur um die Etablierung einer Organisationseinheit „IT-Compliance“ , sondern vor allem um die strukturelle Ausrichtung innerhalb eines Unternehmens (z.B. zentrale vs. dezentrale Ausrichtung). Die wesentlichen Aufgaben übernimmt dabei der sog. IT-Compliance-Officer, der beispielweise für die Gestaltung und Weiterentwicklung des IT-Compliance-Managementsystems sowie die Abstimmung und Koordination mit der Compliance auf der Gesamtunternehmensebene zuständig ist.
Zudem kann, wie in Abbildung 1 dargestellt, zwischen Compliance von IT und Compliance durch IT unterschieden werden. Bei Compliance von IT müssen die im Unternehmen eingesetzten IT-Systeme den gesetzlichen und anderen regulatorischen Vorgaben genügen, die für die Einführung, den Betrieb und die Wartung derartiger Systeme verbindlich sind. Bei Compliance durch IT handelt es sich um IT-Systeme, die als Hilfsmittel zur Erfüllung von gesetzlichen und anderen regulatorischen Vorgaben eingesetzt werden. Beide Sichtweisen greifen ineinander und sind notwendig, um die nachweisliche Erfüllung von IT-Compliance-Vorgaben sicherzustellen [6].
IT-Compliance-Anforderungen
Wie bereits erwähnt, müssen Unternehmen eine Vielzahl an Vorgaben bzgl. der IT beachten. Nachfolgend werden ausgewählte IT-Compliance-Anforderungen vorgestellt, die auf nationaler und internationaler Ebene für die IT von hoher Bedeutung sind. Wie in Tabelle 1 dargestellt, können IT-Compliance-Anforderungen in vier Gruppen zusammengefasst werden [4,7,8].
Die erste Gruppe umfasst rechtliche Vorgaben, die entweder gesetzliche Regelungen oder auf gesetzlicher Grundlage erlassene Vorschriften abbilden. Hierzu gehören u.a. Gesetze, Rechtsverordnungen, Rechtsprechungen oder Verwaltungsvorschriften, die sich auf den betrieblichen Einsatz von IT auswirken.
Bei Verträgen, die ein Unternehmen mit Kunden, Lieferanten und weiteren Partnern abschließt, kann zwischen allgemeinen und IT-spezifischen Verträgen unterschieden werden. Der Vertragsgegenstand der allgemeinen Verträge konzentriert sich nicht ausdrücklich auf die IT. Diese Verträge können jedoch IT-relevante Vereinbarungen enthalten. Bei den IT-spezifischen Verträgen bezieht sich hingegen der Vertragsgegenstand direkt auf die Erbringung von IT-Leistungen.
Zu den internen Regelwerken gehören vor allem Richtlinien, Hausstandards und Verfahrensanweisungen, die unternehmensinterne Festlegungen bezüglich der IT enthalten. Unternehmensinterne Regelwerke werden häufig verwendet, um die Einhaltung anderer Vorgaben sicherzustellen und gegenüber externen Interessengruppen (z.B. Finanzaufsicht oder mit der Jahresabschlussprüfung beauftragte Wirtschaftsprüfungsgesellschaft) zu dokumentieren.
Zur Gruppe der externen Regelwerke gehören überwiegend Kodizes, Normen und Standards, die sich in einer Branche durchgesetzt haben und derzeit in der IT eine wichtige Rolle einnehmen. Diese Gruppe von Regelwerken ist für Unternehmen besonders von Bedeutung, wenn die Erfüllung der Vorgaben bei der Auftragsvergabe von Kunden erwartet oder vorgeschrieben wird. Viele Unternehmen versuchen die Vorgaben auch freiwillig zu erfüllen, um ein positives Unternehmensimage zu bewirken oder es zu verstärken.
| Gruppe | Regelwerk | Inhalt |
|---|---|---|
| Rechtliche Vorgaben | Bundesdatenschutzgesetz (BDSG) | Das BDSG regelt die Erhebung, Verarbeitung und Nutzung von Daten natürlicher Personen. Ziel ist es, den Missbrauch personenbezogener Daten zu verhindern. Speziell die Anlage zu § 9 enthält hierfür spezifische organisatorische und technische Vorgaben. |
| Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) | Die GoBS präzisieren die handelsrechtlichen Grundsätze ordnungsmäßiger Buchführung beim Einsatz von IT-Systemen zur Unterstützung der manuellen Buchführung. | |
| Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) | Die GDPdU regeln die Aufbewahrung digitaler Unterlagen. Hierbei werden handelsrechtliche Vorgaben hinsichtlich der digitalen Aufbewahrung von Geschäftsunterlagen, Buchungsbelegen und Rechnungen konkretisiert. | |
| Mindestanforderungen an das Risikomanagement (MaRisk) | Das MaRisk-Rundschreiben enthält verbindliche Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Ausgestaltung eines angemessenen Risikomanagements bei deutschen Finanzinstituten und Versicherungen. | |
| Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) | Das KonTraG ergänzt die Anforderungen des Handelsgesetzbuches und des Aktiengesetzes zur Verbesserung der Corporate Governance in deutschen Unternehmen. Das KonTraG erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern und erfordert die Einführung eines Risikofrüherkennungssystems. | |
| Basel II | Basel II enthält Eigenkapitalvorschriften für alle Kreditinstitute und Finanzdienstleistungsinstitute, die vom Basler Ausschuss für Bankenaufsicht erarbeitet wurden. Hierbei steht ein angemessenes Risikomanagement im Vordergrund. | |
| Sarbanes-Oxley Act (SOX) | SOX wurde als Reaktion auf berühmte Bilanzskandale erlassen und verpflichtet zu mehr Transparenz in der Rechnungslegung und Berichterstattung. SOX gilt für Unternehmen, die an US-Börsen gelistet sind und für ausländische Tochtergesellschaften dieser Unternehmen. | |
| 8. EU-Richtlinie (Euro-SOX) | Die 8. EU-Richtlinie, auch Euro-SOX genannt, enthält Vorgaben zur Harmonisierung der Anforderungen an die Abschlussprüfung, um innerhalb der EU eine einheitliche und hohe Prüfungsqualität sicherzustellen. | |
| Verträge | IT-spezifische Verträge | IT-spezifische Verträge sind Verträge für IT-Leistungen, wie z.B. Hosting, Entwicklung oder Wartung. |
| Allgemeine Verträge | Allgemeine Verträge sind Verträge, die IT-relevante Regelungen beinhalten, wie z.B. Geheimhaltungsvereinbarungen oder Vereinbarungen über den Austausch und die Aufbewahrung von Informationen. | |
| Interne Regelwerke | Richtlinie zum Umgang mit Passwörtern | Diese Richtlinie enthält Vorgaben, die den Gebrauch und Umgang mit Passwörtern regeln. Eine Passwort-Richtlinie gewährleistet beispielweise, dass Anwender sichere Passwörter einsetzen und diese regelmäßig ändern. |
| Verfahrensanweisung zur Durchführung von IT-Audits | Diese Verfahrensanweisung beschreibt die Planung, Durchführung und Nachbereitung von IT-Audits. Durch die klar definierte Vorgehensweise wird die Erfüllung von Anforderungen an IT-Systeme oder Prozesse sichergestellt. | |
| Service Level Agreement (SLA) | SLAs dienen zur Regelung von Dienstleistungsbeziehungen (Erbringung von IT-Dienstleistungen) zwischen Kunden und Dienstleistern in der IT. Meist handelt es sich dabei um die interne Erbringung von IT-Dienstleistungen. | |
| Externe Regelwerke | IDW PS 330 und RS FAIT 1 | Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) fördert und unterstützt die Arbeit der Wirtschaftsprüfer bzw. Wirtschaftsprüfungsgesellschaften. IDW PS 330 ist ein Prüfungsstandard, der Anforderungen an die Durchführung von Abschlussprüfungen beim Einsatz von IT enthält. IDW FAIT 1 ist eine Stellungnahme zu den Grundsätzen ordnungsmäßiger Buchführung, die die Anforderungen der §§ 238, 239 und 257 HGB für die IT-gestützte Führung der Handelsbücher konkretisiert. |
| Deutscher Corporate Governance Kodex (DCGK) | Der DCGK enthält Empfehlungen zur Corporate Governance deutscher Unternehmen. Dabei handelt es sich um Regelungen bzgl. der verantwortungsvollen und risikoorientierten Führung und Überwachung von Unternehmen. | |
| IT Infrastructure Library (ITIL) | ITIL ist ein international anerkannter Standard für eine mögliche Umsetzung eines IT Service Managements. ITIL enthält eine Sammlung von Best Practices (Prozesse, Methoden, Vorgehensweisen oder Praktiken), die sich in der Praxis bewährt haben. | |
| ISO 20000 | ISO 20000 ist eine international anerkannte Norm für IT Service Management. Die Norm definiert eine Reihe an Anforderungen an die Planung, Erbringung, Steuerung und Verbesserung von IT-Dienstleistungen, die zur Unterstützung der Geschäftsprozesse eingesetzt werden. | |
| ISO 27001 | ISO 27001 ist eine international anerkannte Norm für IT-Sicherheit. Die Norm enthält eine Reihe spezifizierter Anforderungen für die Herstellung, Planung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines Informationssicherheits-Managementsystems. |
IT-Compliance-Prozess
Die Erfüllung der Nachweispflicht erweist sich in der Praxis aufgrund der Komplexität und Anzahl der Regelwerke oftmals als schwierig und stellt Unternehmen vor viele Herausforderungen. Um die Einhaltung von Compliance-Vorgaben an die IT nachweislich einzuhalten, ist ein gezieltes Management der IT-Compliance notwendig [1].
Das Management der IT-Compliance-Anforderungen kann in Form eines ganzheitlichen IT-Compliance-Prozesses, der langfristig im Unternehmen zu etablieren ist, erfolgen. Dieser trägt wesentlich zur effektiven und effizienten Erfüllung von IT-Compliance-Anforderungen und zur Erfüllung der Nachweispflicht bei. Das international anerkannte Framework „Control Objectives for Information and related Technology“ (COBIT) des „IT Governance Instituts“ (ITGI) bildet eine gute Grundlage für die Etablierung von IT-Compliance und IT-Governance. Das COBIT-Referenzmodell besteht aus vier Domänen, die in Abbildung 2 skizziert sind, und gliedert die Aufgaben der IT in Prozesse und sogenannte „Control Objectives“ , die als Prozessaktivitäten verstanden werden können.
Fazit
Die nachweisliche Erfüllung von IT-Compliance-Anforderungen hat in den letzten Jahren enorm an Bedeutung gewonnen. Durch die Vielfalt und Vielzahl an gesetzlichen und anderen regulatorischen Vorgaben an die IT, die die Intransparenz hinsichtlich der Compliance-Anforderungen erhöhen, wird die Notwendigkeit einer systematischen und zielgerichteten Vorgehensweise sichtbar. Das international anerkannte Framework COBIT, insbesondere der Prozess ME3, befolgt einen ganzheitlichen Ansatz und leistet Orientierungshilfe bei der nachweislichen Erfüllung von Compliance-Vorgaben an den betrieblichen Einsatz von IT. Durch die Orientierung an COBIT kann eine gute Grundlage für die Etablierung von IT-Compliance geschaffen werden. Die Wirksamkeit dieser Vorgehensweise muss jedoch kontinuierlich gemessen und optimiert werden, denn die Anzahl der gesetzlichen und anderen regulatorischen Vorgaben an die IT wird in der Zukunft weiterhin zunehmen.
Literatur
1. Rath M, Sponholz R (2009) IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen. Erich Schmidt Verlag, Berlin
2. Spiegel Online (2011) Millionen Bankdaten gestohlen - Sony meldet Hackerangriff auf weiteres Netzwerk. http://www.spiegel.de/netzwelt/gadgets/0,1518,760256,00.html, letzter Zugriff am 12.09.2011
3. Süddeutsche.de (2009) Datenschutz am Arbeitsplatz - Vertrauen per Gesetz. http://www.sueddeutsche.de/wirtschaft/datenschutz-am-arbeitsplatz-vertrauen-per-gesetz-1.490727, letzter Zugriff am 12.09.2011
4. Kronschnabl S (2010) Vorstellung der Studienergebnisse: IT-Sicherheitsstandards und IT-Compliance 2010. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/3GS_Tag2010/IBI_Kronschnabel.pdf?__blob=publicationFile, letzter Zugriff am 12.09.2011
5. Klotz M (2009) Facetten der IT-Compliance. In: IT-Service Management, 4. Jg., Heft 9, S.5-8
6. Teubner RA, Feller T (2008) Informationstechnologie, Governance und Compliance. In: Wirtschaftsinformatik, Bd. 51, Nr. 5, S. 400-407
7. Amberg M, Mossanen K, Walser M (2007) Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung. http://www.wi3.uni-erlangen.de/fileadmin/Dateien/Forschung/Studie_Compliance_Print_Version.pdf, letzter Zugriff am 12.09.2011
8. Klotz M (2011) Regelwerke der IT-Compliance - Klassifikation und Übersicht Teil 1: Rechtliche Regelwerke. In: SIMAT Arbeitspapiere 03/2011, Stralsund
9. IT Governance Institute (2005) COBIT 4.0 – Deutsche Ausgabe
Autoren und Copyright
Artur Strasser und Michael Wittek
Fachhochschule Hannover
Fakultät IV, Abteilung Wirtschaftsinformatik
Ricklinger Stadtweg 120, 30459 Hannover
© 2012 Informatik Spektrum, Springer-Verlag Berlin Heidelberg