Compliance - Betriebswirtschaftliche Einordnung und ausgewählte Standards im IT-Bereich

Inhaltsverzeichnis

1 Einleitung
1.1 Definition
1.2 Compliance-Standards

2 Betriebswirtschaftliche Überlegungen
2.1 Der Markt für Compliance

3 Compliance in der Software-Industrie
3.1 Application Lifecycle Management
3.2 Risiken und Probleme

4 Ausgewählte Compliance-Standards
4.1 COBIT
4.2 ITIL / ISO 20000
4.3 CMMI
4.3.1 Schwächen
4.3.2 Einstufung
4.4 ISO 9001
4.4.1 ISO 9001 im Vergleich mit CMMI
4.5 Zusammenfassung und Einsatzbereich

5 Compliance im rechtlichen Kontext und Ausblick
5.1 Basel II
5.2 Sarbanes-Oxley Act
5.3 Abschließende Bemerkungen

6 Literatur

1 Einleitung

1.1 Definition

Kunden stellen heute an ihre Lieferanten hohe Anforderungen. Produkte sollen möglichst individuell auf die Bedürfnisse des Kunden abgestimmt sein, müssen aber dennoch schnell und zu niedrigen Kosten verfügbar sein.

Zudem kommt heute kein Unternehmen mehr ohne IT aus. Einerseits erleichtert sie viele Abläufe im Unternehmen, da sich diese mithilfe der IT strukturieren und vereinfachen lassen, andererseits erwarten Kunden auch schnelle und präzise Antwor- ten auf ihre Fragen, beispielsweise per E-Mail. Die IT steht heute im Zentrum jeder betriebswirtschaftlichen Überlegung. Wer das schnellere, zuverlässigere und mehr Nut- zen bereitstellende Informationssystem hat, kann sich gegenüber seinen Konkurrenten einen deutlichen Wettbewerbsvorteil verschaffen. Umso bedeutsamer ist es, die Ver- antwortung für die IT im Unternehmen nicht an irgendeine Abteilung abzuschieben, sondern es ist heute mehr denn je auch eine Aufgabe des Top-Managements, die IT zum Wettbewerbsvorteil zu machen.

Dies beinhaltet insbesondere den geplanten und strukturierten Einsatz der Infor- mationssysteme. Es macht wenig Sinn, einfach den Mitarbeitern einen PC unter den Schreibtisch zu stellen und damit die Aufgabe der IT-Beschaffung als abgeschlossen zu betrachten. Strukturierte Regeln für den Einsatz der Informationssysteme sind heute unumgänglich - dies beinhaltet beispielsweise die Frage, wann welche Daten wo, wie abgelegt werden, wer darauf zugreifen und an wen er sie weitergeben darf, geht weiter über Regeln zur Datensicherung bis hin zu Notfallplänen, was beispielsweise im Fall eines Feuers oder Wassereinbruchs mit den Daten und der IT-Infrastruktur zu tun ist.

Die Aufstellung und Einhaltung solcher Verhaltensregeln, in Kombination mit der Einhaltung von gesetzlichen Vorschriften, auf die ich später noch eingehen werde, wird unter dem Begriff ”Compliance“zusammengefasst.DieskannmanaufDeutschin etwa mit Befolgung, Einhaltung oder Übereinstimmung übersetzen, und bedeutet eben nichts anderes, als dass das Unternehmen Regeln hat, die von allen Mitarbeitern befolgt werden.

1.2 Compliance-Standards

Nun ist es aber nicht so, dass sich einfach jedes Unternehmen beliebig selbst Regeln definieren sollte, sondern es wurden von verschiedenen Gremien wie beispielsweise der International Standards Organization (ISO) entsprechende Compliance-Standards für verschiedene Branchen festgelegt. Jedes Unternehmen kann nun überprüfen, ob seine Prozesse

”compliant“zueinembestimmtenStandardsindundsichentsprechendzer- tifizieren lassen. Diese Zertifizierung kann dann auch als Gütesiegel gegenüber poten- ziellen Kunden kommuniziert werden und damit einen Wettbewerbsvorteil darstellen. Außerdem kann das Unternehmen im Rahmen des Zertifizierungsprozesses eigene Schwachstellen entdecken und dies zum Anlass nehmen, diese Schwächen auszumerzen und somit die eigenen Prozesse noch besser zu gestalten, was am Ende ebenfalls in einer höheren Wettbewerbsfähigkeit am Markt resultieren kann.

Ich werde in dieser Arbeit zunächst die Bedeutung von Compliance für Unterneh- men allgemein darstellen und den Markt rund um Zertifizierungen untersuchen. An- schließend werde ich die Bedeutung für die Softwareindustrie beleuchten und einige Compliance-Standards exemplarisch darstellen, nämlich COBIT und ITIL/ISO 20000 sowie CMMI und ISO 9001. Abschließend werde ich noch einen rechtlichen Zusam- menhang zu Compliance beschreiben, speziell mit den Eigenkapitalrichtlinien ”Basel II“ und dem sgn. Sarbanes-Oxley Act (SOX), der für Unternehmen in den USA umfangreiche Kontroll- und Dokumentationspflichten mit sich bringt.

2 Betriebswirtschaftliche Überlegungen

Unternehmen haben heute eine ganze Reihe an Gesetzen und Vorschriften einzuhalten, wobei praktisch alle Abteilungen, vom Marketing bis zum Aufsichtsrat, betroffen sind. Im Arbeitsrecht sind Antidiskriminierungsvorschriften zu beachten, im Vertragsrecht spielt der Verbraucherschutz eine immer größere Rolle. Weitere Stichworte sind Patentschutz, Produkthaftung, Unlautere Werbung, Kartellrecht, Anlegerschutz, Untreue, Korruption, handelsrechtliche Pflichtangaben in E-Mail-Signaturen, um nur einige zu nennen. Speziell diese gesetzlichen Vorschriften haben in Folge von Skandalen wie um die US-Unternehmen Enron und Worldcom, die 2001 bzw. 2002 Insolvenz anmelden mussten, eine deutliche Ausweitung erfahren. [Fock07]

Für Unternehmen stellt sich nun die Frage, wie sie auf diesen Zuwachs an Komple- xität reagieren sollen. Speziell für große Unternehmen hätte es verheerende Folgen, das Thema Compliance einfach zu ignorieren, da negative Reaktionen der Aktionäre und Kunden mit entsprechender Medienresonanz zu erwarten wären. Daher haben Konzer- ne längt begonnen, eigene ”Compliance-Teams“einzurichtenunddasBerufsbilddes ”Chief-Compliance-Officers(CCO)“zuschaffen. Der wichtige Punkt dabei ist, dass es sich bei Compliance nicht um ein Thema handelt, das man einfach einer einzelnen Person ”übergeben“kann,sondernCom- pliance erfordert die Mitwirkung der gesamten Belegschaft. Daher ist die Information und Schulung der Mitarbeiter eine der zentralen Aufgaben des Compliance-Teams. Daneben ist es ebenfalls wichtig, eine positive Außenwirkung zu erzielen. Wie bereits dargestellt, kann es für Unternehmen einen Wettbewerbsvorteil bedeuten, ”compliant“ zu sein und dies auch entsprechend via Pressemitteilungen oder sogar im Briefkopf auf dem Firmenpapier gegenüber Aktionären, Kunden und anderen Stakeholdern zu kommunizieren.

Der deutsche Chemiekonzern BASF aus Ludwigshafen beispielsweise fasste zentra- le gesetzliche Bestimmungen sowie die entsprechende Unternehmenspolitik in einer Handlungsanleitung zusammen und verteilte diese an seine Mitarbeiter. Alleine in den Jahren 2000 bis 2002 wurden am Stammsitz des Unternehmens rund 70 entsprechende Informationsveranstaltungen abgehalten. Ein zentral eingerichtetes Support-Büro bot zusätzliche Hilfe mit Informationsmaterial und Beratung. Weiterhin baute das Büro innerhalb der BASF ein internationales Netzwerk mit lokalen Beauftragten auf. Mit der Ernennung eines Chief Compliance Officers wurde außerdem eine Stelle geschaffen, die für die kontinuierliche Weiterentwicklung des Programms und die Betreuung des Netzwerks der regionalen Compliance-Beauftragen zuständig ist. [BASF04]

Der US-amerikanische Online-Broker E*TRADE Securities definiert das Berufsbild des Chief-Compliance-Officers in einer Stellenanzeige wie folgt: [Care07]

”The Chief Compliance Officer - Retail will be directly responsible for the firms’ compliance functions as they impact all aspects of the business. This includes ensuring that the firm’s policies and procedures comply with all applicable laws and regulations, all employees are informed of their obligations and are motivated to comply, and that controls and surveillance routines are established and maintained.

Ensure that software technology is in place to adequately provide oversight and monitoring in all required areas.“

Die Aufgabe des Top-Managements besteht außerdem darin, im Konzern entspre- chende finanzielle und personelle Ressourcen für das Thema Compliance bereitzustellen und die Bedeutung dieses Komplexes gegenüber allen Mitarbeitern zu verdeutlichen.

”Die Verantwortung für die Corporate Compliance liegtinjedem Fallbeim Vorstand, der von einem oder mehreren Compliance-Officern unterstützt werden sollte, die für ihn Sparringspartner in Augenhöhe und von anderen Abteilungen unabhängig sind. Wer Corporate Compliance als Teil der Unternehmenskultur betrachtet, hat beste Chancen, dauerhaft erfolgreich zu sein.“ erklärt Axel Jäger, Professor für Wirtschaftsrecht an der FH Frankfurt. [Fock07]

2.1 Der Markt für Compliance

Nicht nur unternehmensintern ist Compliance inzwischen ein wichtiger Begriff geworden, denn längst haben Unternehmen Geschäftsmodelle gefunden, mit diesem Thema Geld zu verdienen.

So bietet beispielsweise di]e amerikanische Integrity Interactive Corp. aus Waltham im US-Bundesstaat Massachussets internetbasierte Dienstleistungen in Fragen von Un- ternehmensethik und Compliance an. Dies beinhaltet beispielsweise Schulungen für Mitarbeiter von Unternehmen und umfangreiches Informationsmaterial für das Ma- nagament. Über verschiedene Dokumentationsfunktionen der Schulungssoftware lässt sich der individuelle Fortschritt jedes Mitarbeiters feststellen und gegenüber Aufsichts- organen kommunizieren. [Hard07]

Auch große Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften bieten inzwischen umfangreiche Beratung zu Fragen wie unfaire Verkaufspraktiken oder EU-Wett- bewerbs-Richtlinien an.

”DieUS-FirmaIntegrityInteractivesiehtinihrenCompliance-Schulungeneinen rasch wachsenden Markt. Der Umsatz werde sich internen Forschungen zufolge von 2004 bis 2010 um das 14-fache steigern. 2004 habe der Umsatz weltweit bei 50 bis 60 Mill. USDollar gelegen, 2006 wurden bereits 200 Mill. Dollar erzielt.“ [Hard07]

Das deutsche Unternehmen UIMCert bietet ein Programm an, mit dem

”Daten- schutzverantwortliche den Datenschutzstandard ihrer Institutionen auf Ordnungsmäßigkeit überprüfen können. Das Tool bildet die Anforderungen der Datenschutzgesetzgebung auf der rechtlichen, organisatorischen und IT-Sicherheitsseite ab. Die Ergebnisse des durchgeführten Checkups sind eine Schwachstellenliste als Grundlage für Verbesse- rungen. Das Management erhält in Form einer quantitativen Zusammenfassung zu- verlässige Auskunft über den Stand der Ordnungsmäßigkeit im Datenschutz.“ [Scho07]

3 Compliance in der Software-Industrie

3.1 Application Lifecycle Management

In Unternehmen, die Software entwickeln, setzen verschiedene Projektteams oft unter- schiedliche Tools und Prozesse ein, beispielsweise zum Sourcecode-Management oder zur Archivierung von Daten. Die Standardisierung dieser Prozesse ist ein Beispiel für Compliance in Softwareunternehmen und wird als Teil von ”ApplicationLifecycleMa- nagement“ (ALM) verstanden. Dabei handelt es sich um einen Prozess, der Definition, Design, Entwicklung, Einsatz und Wartung von Software als Kreislauf begreift, wobei jeder Schritt umfangreich beobachtet und dokumentiert wird.

Zur Überwachung der Umsetzung eines ALM-Konzeptes kann beispielsweise eine sgn.

”Compliance-Scorecard“herangezogenwerden,aufderdieSchritteundZeitpunk- te zur Umsetzung eines Konzeptes eingetragen werden. Diese Scorecard wird dann zur Kommunikation gegenüber dem oberen Management verwendet und erzeugt damit auch einen Gruppendynamik-Effekt, denn kein Team wird es sich erlauben wollen, gegenüber den anderen im Unternehmen mit der Umsetzung der Compliance-Strategie zurückzuliegen. [Raga06]

3.2 Risiken und Probleme

Eine wichtige Rolle im Zusammenhang mit der Entwicklung von Software spielt das Thema Risiko. So geht zB das CMMI-Modell davon aus, dass Konzepte, die in Indus- trieunternehmen zur Qualitätssicherung eingesetzt werden, genau so auch für Softwa- reentwicklung eingesetzt werden können. In Wirklichkeit scheint die Sachlage jedoch etwas komplizierter zu sein, da in der Industrie vor Allem sgn.

”replicationrisks“auf- treten, d.h. das Risiko, dass beispielsweise eine Maschine nicht ordnungsgemäß arbeitet und daher nicht alle Exemplare eines Produkts die gleiche Qualität aufweisen. Bei der Softwareentwicklung stehen hingegen die sgn.

”designrisks“imVordergrund,denndie Art und Weise, wie bei der Entwicklung einer Software vorgegangen wird, hat maßgeb- lichen Einfluss auf deren spätere Qualität. So spielt zB die Frage, welche Teile eines Programms parallel und welche sequenziell entwickelt werden müssen, eine wichtige Rolle. Dabei entsteht das Risiko, große Teile einer Software komplett neu schreiben zu müssen, je später man schwere Designfehler bemerkt. [BoMc91]

Ein weiteres Problem wird mit dem Stichwort ”ProcessFossilization“bezeichnet. ”Inprocessfossilization,thewaysoftwaredevelopmentisdonemaybecome stilted and lethargic due to the constant need to keep the process in line with the expectations of the fixed template used to grade it. This type of process fossilization is really just a reflection of the fact that when adaptive systems are repeatadly tested against some model, they will quickly begin to reflect the major characteristics of that test model.“ [BoMc91]

Dies bedeutet, dass bei der Softwareentwicklung das Risiko besteht, bestimmte Dinge nur zu tun, weil die Einhaltung von bestimmten Compliance-Standards sie verlangen, aber nicht weil sie im jeweiligen Kontext tatsächlich sinnvoll wären. So kann es passie- ren, dass die gesamte Struktur eines Programms fragil und unorganisiert wird, weil an unzähligen Stellen Modifikationen vorgenommen wurden, um Compliance-Standards einhalten zu können. Dies reduziert die Flexibilität des Programms und führt zu silization“. Verwandt hiermit ist das sgn. ”Fos- ”Processdithering“: ”Processditheringiswhenaprojectororganizationspendsmostofitstime trying to optimize the low-level symptoms of what is actually a high-level flaw in the process.“ [BoMc91]

Beispielsweise kann es passieren, dass viel Zeit in die Dokumentation und Messung von Programmteilen investiert wird, die sich später ohnehin als redundant und verzichtbar herausstellen.

[...]