IT Compliance. Regulative Rahmenbedingungen und ihre Bedeutung für den Einsatz der Informationstechnologie im Unternehmen

Unter besonderer Berücksichtigung standardisierter Prozessmodelle


Diplomarbeit, 2009
90 Seiten, Note: 1,7

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungen

Einleitung

1 Grundlagen
1.1 Corporate Governance
1.1.1 Hintergrund
1.1.2 Definitionen
1.1.3 Deutscher Corporate Governance Kodex
1.2 Risikomanagement
1.3 Compliance
1.3.1 Hintergrund
1.3.2 Definitionen
1.3.3 Compliance in der Unternehmensrealität
1.3.4 Schwierigkeiten bei der Umsetzung von Compliance
1.4 Zusammenfassung

2 Informationstechnologie im Unternehmen
2.1 Bedeutung der Informationstechnologie
2.2 Erwartungshaltung an die IT
2.3 Informationstechnologie als Risiko
2.4 Governance, Risk & Compliance in der IT
2.4.1 IT Governance
2.4.2 IT Risikomanagement
2.4.3 IT Compliance
2.4.4 Dimensionen der IT Compliance
2.5 Zusammenfassung

3 Regulative und gesetzliche Rahmenbedingungen
3.1 Risikomanagement
3.1.1 KonTraG
3.1.2 8. EU-Richtlinie („EuroSOX“)
3.1.3 BilMoG
3.1.4 Kreditwesengesetz
3.1.5 MaRisk
3.1.6 Basel II
3.1.7 Sarbanes-Oxley Act (SOX)
3.1.8 Zusammenfassung
3.2 IT Sicherheit
3.2.1 Datenschutz
3.2.2 Zusammenfassung
3.3 Handels- und Steuerrecht
3.3.1 GoBS
3.3.2 GDPdU
3.3.3 Prüfung der IT Systeme
3.3.4 Zusammenfassung
3.4 Nutzung von Internet und Email im Unternehmen
3.4.1 Erlaubte private Nutzung
3.4.1.1 Telekommunikationsgesetz
3.4.1.2 Telemediengesetz
3.4.2 Verbotene private Nutzung
3.4.3 Zusammenfassung
3.5 Online-Handel
3.5.1 Elektronische Korrespondenz
3.5.2 Anbieterkennzeichnung
3.5.3 Online-Shops
3.6 Weitere Gesetze mit besonderem Bezug zur Informationstechnologie
3.6.1 Urhebergesetz
3.6.2 „Hackerparagraph“
3.7 Haftungsrisiken bei Compliance Defiziten
3.7.1 Haftungsszenarien
3.7.2 Arbeitnehmerhaftung
3.7.3 Haftung leitender Mitarbeiter oder geschäftsführender Organe
3.7.3.1 Sorgfaltspflichten
3.7.3.2 Risikomanagement
3.8 Zusammenfassung und Übersicht

4 Referenzmodelle und Normen
4.1 Vorteile von Frameworks
4.2 Relevante IT Frameworks und Normen
4.3 IT Governance Frameworks
4.3.1 COSO
4.3.2 ITIL
4.3.3 CobiT
4.4 Das CobiT Framework
4.4.1 Der Ansatz von CobiT
4.4.2 CobiT Strukturierung
4.4.3 IT Compliance im CobiT Framework
4.4.4 Der CobiT Prozess zur Unterstützung der IT Compliance
4.5 Zusammenfassung

5 Schlussbetrachtung

Literaturverzeichnis

Anhang

Abbildungsverzeichnis

Abbildung 1: Grundlegender CobiT Zyklus

Abbildung 2: CobiT Würfel

Abbildung 3: CobiT Prozesse

Tabellenverzeichnis

Tabelle 1: Hauptaufgaben von IT Governance

Tabelle 2: IT Risikokategorien und deren Bedeutung

Tabelle 3: Prüfungsnormen des Instituts des Wirtschaftsprüfer (IDW)

Tabelle 4: Gesamtübersicht IT Compliance Handlungsfelder

Tabelle 5: Information citeria nach CobiT

Tabelle 6: Varianten zur Gewährleistung des Datenschutzes bei Datenübertragung ins Ausland

Abkürzungen

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

„Was ist IT Compliance?“ - Diese Frage ist nicht nur der Titel einer kürzlich veröffentlichten Website1, der Begriff der sogenannten IT Compliance ist in aller Munde. Zumindest wenn man der einschlägigen Fachpresse Glauben schenkt, so gibt es kaum ein strategisches Thema, mit dem sich die IT Verantwortlichen in den Unternehmen dringender beschäftigen sollten:

Während die Zeitschrift COMPUTERWOCHE noch fragt: „EuroSOX: Sind Sie vorbereitet?“ (Computerwoche 2008a) und damit gemeinsam mit der Zeitschrift LANLINE den „Problembereich Compliance“ (Lanline 2005) identifiziert, findet sich in anderen Artikeln bereits die Antwort hierauf: „IT kann Compliance-Fristen nicht einhalten“ (Computerwoche 2005). Die Gründe hierfür sind ebenfalls schnell benannt - so resümiert die COMPUTERWOCHE: „IT-Chefs nehmen EuroSOX auf die leichte Schulter“ (Computerwoche 2008b), wofür die COMPUTERZEITUNG auch den Grund kennt: „IT-Chefs sehen Compliance lediglich als Kostenfaktor“ (Computerzeitung 2008).

Selbst die weniger IT-bezogene Presse greift das Thema IT Compliance mittlerweile auf. So vermeldet das HANDELSBLATT „IT-Compliance stellt Unternehmen vor schwere Probleme“ (Handelsblatt 2007) und verweist auf die „komplexe Kombination aus Recht, Steuern und Technik und den damit verbundenen Risiken“, während die FINANCIAL TIMES DEUTSCHLAND noch jüngst warnend den Finger hebt: „Deutsche Firmen spielen auf Risiko“ (FDT 2008) und auf die seit Juni geltende EuroSOX Regelung und ihren Bedeutung für den Einsatz digitaler Dokumentationen verweist.

Ein genaueres Studium dieser und ähnlicher Artikel bringt dabei kaum Konkretes zu Tage. In schöner Regelmäßigkeit werden darin eindrucksvoll klingende Gesetzesbezeichnungen wie etwa EuroSOX, Sarbanes-Oxley oder KonTraG mit technischen oder organisatorischen Schlagworten wie Archivierung, Dokumentenmanagement, IT Security oder Risikomanagement und vor allem den drohenden Haftungsrisiken für das Unternehmen und Mitarbeiter in Verbindung gebracht. Insbesondere die Hersteller von Hard- oder Software sowie Beratungsunternehmen betonen in ihren Publikationen gerne die außerordentlich hohe Dringlichkeit der IT Compliance, welche selbstverständlich mit den eigenen Produkten und Dienstleistungen in den Griff zu bekommen sei. Mitunter lässt sich hierbei der Eindruck der „Panikmache“ aus kommerziellen Gründen kaum vermeiden.

Immerhin wird aus derartigen Beiträgen schnell deutlich, das IT Compliance - als erste Begriffsbestimmung - etwas mit dem rechtskonformen Einsatz der Informationstechnologie zu tun hat. Konkrete Aussagen, welchen rechtlichen Anforderungen mit welchen Mitteln zu begegnen ist, fehlen jedoch in aller Regel. Ebenso die Klärung, wer konkret von welchen Anforderungen betroffen ist.

All dies führt in Summe zu einer gewissen Intransparenz der zugrunde liegenden rechtlichen, technischen und organisatorischen Aspekte bis hin zur Beliebigkeit der Begriffe. Ein erster Blick in die am häufigsten zitierten Gesetze, z.B. EuroSOX, lässt auch die Gründe hierfür erahnen. Hier finden sich kaum IT-spezifische Aussagen, sondern in aller Regel relativ allgemeine Formulierungen, welche erst der Interpretation und der Abbildung auf den Bereich Informationstechnologie bedürfen.

Die Analyse der für ein Unternehmen relevanten gesetzlichen Anforderungen wird zudem dadurch erschwert, dass diese oftmals von der Unternehmensform abhängen und, dies trifft vor allem auf international agierende Konzerne mit mehreren Landesgesellschaften zu, auch landesabhängig sind. Hierbei kann es mitunter sogar zu Zielkonflikten kommen, wenn etwa ein Land die langfristige Archivierung bestimmter Dokumente oder Informationen fordert, ein anderes aus datenschutzrechtlichen Gründen aber die Löschung der selbigen innerhalb kurzer Fristen verlangt.

Dies wirft in Folge auch die Frage nach der Gestaltung organisatorischer Prozesse innerhalb des IT Bereichs zur Erreichung von Compliance Zielen auf. Ziele der Arbeit Im Rahmen dieser Arbeit soll der aktuelle Stand des Themas IT Compliance untersucht und dargestellt werden.

Neben der Einordnung des Begriffs in übergeordnete Unternehmensführungsaspekte sollen durch eine Literaturrecherche die wesentlichen Gesetzesnormen identifiziert werden, welche einen potentiellen Einfluss auf den Einsatz der Informationstechnologie haben und somit maßgeblich für die Frage nach der IT Compliance sind. Die naheliegende Frage nach den resultierenden Haftungsrisiken für das Unternehmen oder verantwortlich handelnden Personen ist darüber hinaus ebenfalls zu beantworten.

Auf Grundlage der Ergebnisse dieser Analyse soll im Anschluss erörtert werden, ob die Anwendung standardisierter Prozessmodelle geeignet zu sein scheint, einen positiven Beitrag zum Erreichen von IT Compliance Zielen zu leisten.

Aufbau der Arbeit

Teil 1 stellt relevante übergeordnete Unternehmensführungsansätze dar, wobei die betriebswirtschaftliche Sicht im Vordergrund steht. Hierbei dient der Begriff der Corporate Governance als Ausgangspunkt für eine Darstellung der Themen Risikomanagement und Compliance.

Teil 2 geht auf den heutigen Stellenwert der Informationstechnologie für die Unternehmen ein und bildet die Begrifflichkeiten des vorherigen Teils auf den Unternehmensbereich IT ab.

In Teil 3 erfolgt eine ausführliche Analyse bestehender Gesetzesnormen und ihre Bedeutung für den Einsatz der IT sowie eine Darstellung der konkreten Haftungsrisiken für das Unternehmen und dessen Mitarbeiter bei Compliance Defiziten.

Auf die Betrachtung branchenspezifischer Regularien, wie sie beispielsweise in der

Chemie- oder Pharmabranche, in der Kreditkartenindustrie oder für Anwälte oder Ärzte gelten, soll im Detail verzichtet werden. Des Weiteren soll sich die Untersuchung auf den deutschen bzw. europäischen Rechtsraum beschränken. Internationale Gesetzesregelungen sollen nur bei besonderer Bedeutung berücksichtigt werden.

Abschließend wird in Teil 4 der Arbeit der Nutzen standardisierter Prozessmodelle für das Erreichen von IT Compliance untersucht. Hierbei steht das CobiT Modell im Vordergrund, dessen Darstellung sich auf für die im Sinne dieser Arbeit relevanten Teile beschränken soll.

Teil 5 schließt die Arbeit mit einer Zusammenfassung und abschließenden Betrachtung.

1 Grundlagen

1.1 Corporate Governance

Der Begriff der Corporate Governance zählt zu den zentralen Begriffen der modernen Unternehmensführung, gleichwohl existiert keine allgemein anerkannte und verbindliche Definition. Dennoch gibt es einen breiten Konsens, was sich hinter Corporate Governance verbirgt.

Die direkte englische Übersetzung als „Führung des Unternehmens“ ist bei weitem zu kurz gegriffen (dies entspräche eher der Übersetzung des Begriffs Management), da dies zu sehr das tagtägliche operative Geschäft fokussiert. Corporate Governance ist breiter angelegt - im Kern geht es darum, für die Führung von Unternehmen einen Rahmen zu setzen, Richtlinien zu definieren und Verhaltensmaßstäbe festzulegen.

Zunächst unabhängig von gesetzlichen Rahmenbedingungen stellt die Corporate Governance eine freiwillig eingegangene Verpflichtung eines Unternehmens dar und steht für die Gestaltung der Unternehmensführung nach transparenten, betriebswirtschaftlich sinnvollen und moralischen und ethischen akzeptablen Grundsätzen.

Corporate Governance ist jedoch mehr als ein Satz niedergeschriebener Regeln und Normen. Zu ihr zählen auch diejenigen unternehmensinternen Prozesse, welche zur Erstellung und Verbesserung der Governance Regularien führen als auch die Mechanismen, um deren Einhaltung zu kontrollieren.

1.1.1 Hintergrund

Bereits in den dreißiger Jahren des letzen Jahrhunderts wurde das grundlegende

Problem erkannt, dass die Interessen der für die Führung eines Unternehmens verantwortlichen Personen und die der eigentlichen Besitzer bzw. Anteilseigner nicht zwingend deckungsgleich sein müssen2. Im Gegenteil, mitunter kann es zu Situationen kommen, in denen die Unternehmensführung aus opportunistischen Gründen gegen die 2 Wegweisend waren hierzu die Analysen von Berle und Means (vgl. Berle, Means 1932). Ein kurzer Abriss findet sich im Anhang der Arbeit.

Interessen der Anteilseigner handelt, um sich so persönliche, meistens monetäre Vorteile zu verschaffen. Dem wurde bereits früh versucht, mit gesetzlichen und unternehmensinternen Regularien entgegenzuwirken, doch leider hat die Erfahrung jedoch gezeigt, dass dies nicht immer ausreichend war.

Vor dem Hintergrund teilweise spektakulärer Bilanzskandale und Firmenpleiten gewann die Diskussion um die Kontrolle der Unternehmensführung Ende der 1990er Jahre eine neue Dimension. In diesem Zusammenhang haben vor allem, neben vielen anderen, Firmen wie Enron, Parmalat oder Worldcom mit den damit verbundenen Bilanzskandalen und Firmenpleiten traurige Berühmtheit erlangt.

Durch die nachgewiesenen kriminellen Machenschaften des Managements in diesen Fällen wurde deutlich, dass die vorhandenen Kontroll- und Sanktionsmittel für eine effektive Kontrolle der Unternehmensleitung nicht ausreichend waren. Insbesondere in Zeiten globaler Konzerne und multinational agierender Unternehmen waren die nationalen gesetzgeberischen Mittel an ihre Grenzen gestoßen und es stellte sich die Frage nach neuen, übergreifenden Regeln.

Dies war der Durchbruch des Corporate Governance Begriffs.

1.1.2 Definitionen

Eine der ersten Erwähnungen und Definitionen des Begriffs der Corporate Governance findet sich im sogenannten Cadburry Report von 1992, in welchem die (negativen) finanziellen Aspekte der Trennung zwischen Aktionären und Management in Großbritannien untersucht werden. Dort heißt es noch relativ übersichtlich: „Corporate Governance is the system by which companies are directed and controlled” (Cadburry 1992, §§ 2.5).

Seitdem wurden zahlreiche Definitionen geschaffen. Heute versteht man unter Corporate Governance die „verantwortungsvolle Unternehmenssteuerung durch die Geschäftsführung“, welche „neben der Einhaltung von Gesetzen für eine transparente Organisation und ein angemessenes Risikomanagement sorgt“ (Rath 2008, S. 1). Der Teilbegriff Governance beschreibt dabei „das gesamte Steuerungs- und Regelsystem eines Unternehmens, welches darauf abzielt, im Rahmen von Recht, Gesetz und den herrschenden Moralvorstellungen einen volkswirtschaftlichen Beitrag und einen betriebswirtschaftlichen Erfolgt mit möglichst optimalen internen Strukturen auf möglichst effektivem Weg zu erreichen“ (vgl. Rohde-Liebenau 2007, S. 273 ff.). Auf internationaler Ebene bemüht sich u. A. die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) um die Durchsetzung eines einheitlichen Governance Verständnisses. Um ihre Mitgliedsländer bei der Etablierung von Corporate Governance Praktiken zu unterstützen, wurden von der OECD Grundsätze zur Corporate Governance aufgestellt. Diese sollen vornehmlich als Leitfaden für nationale Umsetzungen und Ausprägungen dienen. Dort heißt es (OECD 2004, S. 11):

„Corporate-Governance-Praktiken gehören zu den zentralen Voraussetzungen für die Verbesserung von wirtschaftlicher Effizienz und Wachstum wie auch für die Stärkung des Anlegervertrauens. Sie betreffen das ganze Geflecht der Beziehungen zwischen dem Management eines Unternehmens, dem Aufsichtsorgan, den Aktionären und anderen Unternehmensbeteiligten (Stakeholder). Die Corporate Governance liefert auch den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle.“

1.1.3 Deutscher Corporate Governance Kodex

In Deutschland ist das Verständnis von Corporate Governance vor allem durch den Deutschen Corporate Governance Kodex (DCGK) geprägt. Dieser wurde auf Initiative der Bundesregierung erstmalig 2002 durch eine von ihr eingesetzte Regierungskommission3 erarbeitet und richtet sich in erster Linie an börsennotierte Aktiengesellschaften. Seitdem wird der DCGK regelmäßig überarbeitet und aktualisiert, zuletzt im Jahre 2008. Auf der Webseite der Kommission werden als wesentliche Ziele genannt (vgl. DCGK 2008):

„Mit dem Deutschen Corporate Governance Kodex sollen die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale wie internationale Investoren transparent gemacht werden, um so das Vertrauen in die Unternehmensführung deutscher Gesellschaften zu stärken. Der Kodex adressiert alle wesentlichen - vor allem internationalen - Kritikpunkte an der deutschen Unternehmensverfassung, nämlich

ƒ- mangelhafte Ausrichtung auf Aktionärsinteressen;
ƒ- die duale Unternehmensverfassung mit Vorstand und Aufsichtsrat;
ƒ- mangelnde Transparenz deutscher Unternehmensführung;
ƒ- mangelnde Unabhängigkeit deutscher Aufsichtsräte;
ƒ- eingeschränkte Unabhängigkeit der Abschlussprüfer.“

In der Präambel des Kodex wird dies noch weiter ausgeführt:

„Der vorliegende Deutsche Corporate Governance Kodex (der "Kodex") stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung) dar und enthält international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Der Kodex soll das deutsche Corporate Governance System transparent und nachvollziehbar machen. Er will das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Gesellschaften fördern.

Der Kodex verdeutlicht die Rechte der Aktionäre, die der Gesellschaft das erforderliche Eigenkapital zur Verfügung stellen und das unternehmerische Risiko tragen.“

Inhaltlich besteht der Kodex auf Muss-, Kann- und Soll-Bestimmungen. Während die Muss-Bestimmungen im Wesentlichen geltendes Recht referenzieren (überwiegend aus dem AktG), werden in Form von Kann- und Soll-Bestimmungen zahlreiche Anregungen (Kann) und Empfehlungen (Soll) gegeben.

1.2 Risikomanagement

Begriffsdefinitionen

Als Risiko werden solche Faktoren bzw. potentielle Ereignisse angesehen, welche bei ihrem Eintritt das Unternehmen an der Erreichung definierter Ziele hindern (z.B. Umsatzziele, Erlangung von Wettbewerbsvorteilen, Eintritt in neue Märkte, etc.) oder aber einen direkten Schaden für das Unternehmen bedeuten würden (z.B. Ertragseinbußen, Schadensersatzforderungen gegen das Unternehmen, etc.). Oftmals bedingen sich diese beiden Aspekte wechselseitig.

Unter Risikomanagement wird demzufolge eine systematische Vorgehensweise zur vorausschauenden Erkennung, Analyse und Bewertung von Risiken verstanden, ggf. in Verbindung mit der Planung bzw. Umsetzung geeigneter Maßnahmen, um die Eintrittswahrscheinlichkeit eines bestimmten Risikos zu minimieren oder aber zumindest die negativen Folgen zu reduzieren.

Ein Risikomanagementsystem bezeichnet die Gesamtheit aller ablauf- und aufbauorganisatorischen Regelungen und Vorgaben innerhalb eines Unternehmens, um ein funktionierendes und effektives Risikomanagement zu gewährleisten. Hierzu gehören i.d.R. auch Mittel der Informationstechnologie zur Bereitstellung der benötigen Informationen und zur Dokumentation, Analyse und Bewertung identifizierter Risiken sowie der Kontrolle eingeleiteter Maßnahmen.

Notwendigkeit zur Unterhaltung eines Risikomanagementsystems Bereits ohne ein tieferes Verständnis von Unternehmensführungstheorien oder betriebswirtschaftlichen Grundlagen lässt sich nachvollziehen, dass ein effektives und funktionierendes Risikomanagement für jedes Unternehmen, gleich welcher Größe oder Unternehmensform, unabdingbar für den mittel- und langfristigen Unternehmenserfolg ist.

Darüber hinaus findet sich in einschlägigen Publikationen auch oftmals der Hinweis, dass Unternehmen bereits von Rechts wegen zur Unterhaltung eines Risikomanagements verpflichtet seien. Eine genauere Untersuchung dieses Arguments wird daher in Teil 3 der Arbeit vorgenommen.

Risikomanagement als Bestandteil der Corporate Governance

Risiken können bei Ihrem Eintritt ohne Weiteres bestandsgefährdende Auswirkungen für ein Unternehmen entfalten. Man denke nur an die Einstellung der Geschäftstätigkeit bei Ausfall von Produktionsanlagen durch äußere Umstände, die Insolvenz bei Zahlungsausfällen von Lieferanten oder den völligen Vertrauensverlust bei Kunden und Partnern, wenn es etwa zu Datenverlusten oder -missbrauch durch mangelnde Sicherheitsvorkehrungen gekommen ist.

Die zuletzt genannten Beispiele machen deutlich, dass deren Verhinderung oder Abmilderung durch ein funktionierendes Risikomanagement oberste Priorität in einem Unternehmen genießen muss und somit konsequenterweise eine Kernaufgabe der Unternehmensführung darstellt, um den Bestand des Unternehmens nicht zu gefährden.

Nicht zuletzt stellt das Risikomanagement eines Unternehmens auch eine vertrauensbildende Maßnahme gegenüber Dritten dar und ist dadurch als ein wesentlicher Bestandteil der Corporate Governance zu sehen.

Diese Sichtweise spiegelt sich auch im DCGK wider, dessen zentralen Aussagen diesbezüglich im Folgenden auszugsweise dargestellt werden.

DCGK (3.4)

„Der Vorstand informiert den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen […], der Risikolage und des Risikomanagements.“

DCGK (4.1.4)

„Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“

DCGK (5.2)

„[…] Der Aufsichtsratsvorsitzende soll mit dem Vorstand, insbesondere mit dem Vorsitzenden bzw.

Sprecher des Vorstands, regelmäßig Kontakt halten und […] das Risikomanagement des Unternehmens beraten. […]“

DCGK (5.3.2)

„Der Aufsichtsrat soll einen Prüfungsausschuss (Audit Committee) einrichten, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und […] befasst.“

Aus wenn sich der DCGK an börsennotierte Aktiengesellschaften richtet, so sind die geforderten Maßnahmen mindestens in ihrer grundlegenden Zielsetzung offensichtlich auch auf andere Unternehmensformen übertragbar. Ob auch eine rechtliche Notwendigkeit hierzu besteht, wird später noch zu untersuchen sein.

1.3 Compliance

1.3.1 Hintergrund

Firmen und Unternehmen sehen sich heutzutage einer wachsenden Anzahl regulativer Anforderungen ausgesetzt, denen sie im Rahmen ihrer Geschäftstätigkeit gerecht werden müssen. Neben vertraglichen Vereinbarungen mit Geschäftspartnern, branchenspezifischen Regularien und selbst auferlegten Richtlinien gilt es insbesondere, die verschiedensten gesetzlichen Vorgaben im Rahmen der Unternehmenstätigkeit zu beachten. Hinzu kommen durch kulturelle und soziale Aspekte gegebene Wertvorstellungen hinsichtlich moralisch und ethisch korrekten Verhaltens. Einige Autoren unterscheiden zwischen gesetzlichen auf der einen, regulativen Vorgaben oder Anforderungen auf der anderen Seite (in Anlehnung an Kampffmeyer 2007, S. 4):

Gesetzliche Vorgaben. Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Es gibt keine Alternative zur Erfüllung, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.

Regulative Vorgaben. Richtlinien, die nicht auf Gesetzen, sondern etwa auf Normen, Standards, branchenüblichen „best-practices“, Verträgen mit Partnerfirmen oder unternehmensinternen Vorgaben (oftmals „Policies“ genannt) basieren.

Aus der Missachtung gesetzlicher oder regulativer Vorgaben können in der Regel Sanktionen gegen das Unternehmen abgeleitet werden. Im Fall gesetzlicher Vorgaben sind diese vor allem zivil-, straf- oder steuerrechtlicher Natur, im Fall der sonstigen regulativen Vorgaben können dies beispielsweise Konventionalstrafen sein.

Hiermit ist üblicherweise auch ein betriebswirtschaftlicher Schaden für das Unternehmen verbunden, dessen Bandbreite sich von „einfachen“ Bußgeldern über konkrete wirtschaftliche Einbußen bis hin zur Insolvenz und Schließung des Betriebs erstrecken kann. Da ein Unternehmen als juristische Person nicht straffähig ist, stellt sich daher auch stets die Frage nach den persönlichen Verantwortlichkeiten für solche Verstöße und wird somit zu einer Frage der Haftungsrisiken für verantwortlich handelnde Personen.

1.3.2 Definitionen

Als Oberbegriff für diesen umfangreichen Themenkomplex hat sich der Begriff Compliance durchgesetzt, zu dem bislang keine allgemein anerkannte deutschsprachige Entsprechung existiert. Der Begriff der Compliance ist auch nicht allgemein verbindlich normiert, so dass verschiedene Autoren unterschiedliche Schwerpunkte setzen.

Eine gänzlich statische Sichtweise (Compliance als Zustand) vertritt Johannsen und definiert Compliance als „Übereinstimmung zu gesetzlichen, aufsichtsrechtlichen und freiwilligen Regeln“ (Johannsen, Goeken 2007, S. 15).

Rath hingegen betont den prozessualen Charakter der Compliance und die Verantwortung der Geschäftsleitung hierfür und definiert Compliance als „die Gesamtheit aller organisatorischen Aufsichts-, Schulungs- und Kontrollmaßnahmen der Geschäftsleitung (einschließlich der Einrichtung eines Berichts- und Dokumentationswesens), welche einen Verstoß des Unternehmens gegen gesetzliche Pflichten verhindern sollen“ (Rath 2008, S. 1).

Rohde-Liebenau vertritt eine ähnliche Auffassung, hebt aber zusätzlich die nicht gesetzlichen Regularien („soft law“) hervor und beschreibt Compliance als „die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des unternehmerischen Geschäftsgebarens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit Moral und Ethik gewährleistet werden“ (Rohde-Liebenau 2007, S. 275).

Hausegger schließlich betont als wesentliche Zielsetzung der Compliance die Verhinderung oder zumindest Minimierung von Unternehmensrisiken und umschreibt Compliance als „regelkonformes Verhalten eines Unternehmens in Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und entsprechend adressiert werden“ (Hausegger 2008, S. 13).

Im Rahmen dieser Arbeit soll Compliance wie folgt verstanden werden:

Compliance ist ein Zustand, in dem das Risiko, dass Schäden für das Unternehmen oder dem Unternehmen angehörige Personen auf Grund von Verstößen gegen gesetzliche oder regulative Vorgaben eintreten, auf ein für das Unternehmens bzw. betroffene Personen akzeptables Maß reduziert sind.

Diese Definition soll insbesondere folgende Aspekte hervorheben:

ƒ Die Erreichung umfassender Compliance, d.h. Konformität zu allen für ein Unternehmen relevanten gesetzlichen / regulativen Vorgaben wird in der Praxis kaum möglich sein. Hiergegen sprechen bereits die beobachtbare stetig zunehmende Regulierungsdichte und die Dynamik der gesetzlichen Vorgaben. ƒ In der Praxis wird dies allerdings auch kaum angestrebt werden. Dem stehen bereits Kosten-Nutzen Erwägungen entegegen, gemäß dem Motto „so viel Compliance wie nötig, so wenig Compliance wie möglich.“

ƒ Ein bestimmter Grad von Compliance kann immer nur ein momentaner Zustand sein. Aufgrund von Änderungen der Unternehmensausrichtung oder gesetzlicher Grundlagen ist dieser stetigem Wandel unterworfen und erfordert permanente Anpassungen des Unternehmens und der Organisation. ƒ Compliance Defizite sind ein Unternehmensrisiko, da daraus Schäden für das Unternehmen aufgrund straf-, zivil oder steuerrechtlicher Sanktionen entstehen können. Des Weiteren stehen auch persönliche Haftungsrisiken verantwortlicher Mitarbeiter oder Organe im Raum.

Dementsprechend trägt auch der Deutsche Corporate Governance Kodex der zentralen Bedeutung von Compliance für das Unternehmen Rechnung und führt hierzu aus:

DCGK (4.1.3)

„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“

1.3.3 Compliance in der Unternehmensrealität

Die Unternehmen nehmen das Thema Compliance und die drohenden Konsequenzen bei Defiziten ernst. Dies zeigt etwa eine Studie der Unternehmensberatung Ernst & Young, der zufolge für das Jahr 2008 unzureichende Compliance als das größte Unternehmensrisiko überhaupt angesehen wird (EY 2008), für das Jahr 2009 lediglich von den Risiken der weltweiten Finanzkrise auf Platz zwei verdrängt (EY 2009). Eine weitere Studie der The Economist Intelligence Unit4 sieht mangelnde Compliance neben Finanzierungs-, Kredit- und Marktrisiken an erster Stelle der „sehr ernsten Bedrohungen“ für ein Unternehmen (EIU 2008a, S. 13). Die Unternehmen reagieren entsprechend: Während die Analysten von AMR Research im Jahr 2005 noch jährliche Aufwendungen in Höhe von 15,5 Mrd. US$ vorhersagten5 (AMR 2005), lagen die Schätzungen im Jahr 2007 bereits bei 30 Mrd. US$ (AMR 2007) und in 2008 bei 32 Mrd. US$ (AMR 2008). Für Großbritannien geht The Economist Intelligence Unit von ca. 66 Mrd. £ aus, die englische Firmen im Zeitraum von 1998 bis 2008 zur Erfüllung von Compliance Anforderungen aufwenden mussten (EIU 2008a, S. 2). Einer weiteren, weltweiten Studie zufolge vermeldeten die Hälfte aller Unternehmen noch in 2008 einen weiteren Anstieg ihrer Compliance Kosten (GMG 2008, S. 9)

1.3.4 Schwierigkeiten bei der Umsetzung von Compliance

Die Umsetzung von Compliance stellt primär nicht allein eine Kostenfrage dar. In der Praxis kommen weitere Faktoren hinzu, durch welche enorme Herausforderungen für die Unternehmen entstehen. An erster Stelle steht hier die Komplexität und Vielzahl der existierenden regulativen Anforderungen, die als größte Hürde angesehen wird, wie aus einer Studie von The Economist Intelligence Unit hervorgeht (EIU 2008a, S. 3). Schätzungen gehen von etwa 25.000 einzelnen Compliance Regelungen weltweit aus (Rath 2008, S. 121), welche zwar nur jeweils zu einem Bruchteil für ein einzelnes Unternehmen relevant sein dürften, aber insbesondere bei international tätigen Konzernen gilt es, die Rechtslage in jedem einzelnen Land zu kennen und zu beachten.

So wird beispielsweise geschätzt, dass immerhin ca. 30% aller europäischen Firmen vom sog. „South African King Report“ betroffen sind, einem für in Südafrika tätige Unternehmen relevanten umfangreichen Compliance Regelwerk und ca. 28% aller US- amerikanischen Unternehmen den japanischen J-SOX Compliance Regularien unterliegen (GMG 2008, S. 5).

Als weitere Hindernisse bei der Umsetzung von Compliance Anforderungen werden genannt (vgl. GMG 2008, S. 11 sowie EIU 2008a, S. 3):

ƒ- Änderungen bestehender bzw. Einführung neuer Compliance Regelungen,
ƒ- Änderungen in der Interpretation von Compliance Anforderungen,
ƒ- mangelhafte Absprache zwischen unterschiedlichen Gesetzgebern sowie
ƒ- Schwierigkeiten bei der Rekrutierung von qualifiziertem Personal

1.4 Zusammenfassung

ƒ- Corporate Governance stellt ein Regelwerk dar, um „gute“ Unternehmensführung zu gewährleisten. Neben unternehmensspezifischen Regelungen existieren hierzu nationale und internationale Empfehlungen zur Ausgestaltung, wobei in Deutschland der Deutsche Corporate Governance Kodex maßgeblich ist.
ƒ- Primäre Aufgabe des Risikomanagements ist es, bestandsgefährdende Risiken für das Unternehmen früh zu erkennen und Gegenmaßnahmen zu ergreifen. Es stellt somit einen wichtigen Teilbereich der Corporate Governance dar.
ƒ- Der Begriff Compliance steht für das Bestreben, das Unternehmen in Übereinstimmung mit gesetzlichen und regulativen Vorgaben zu führen und ist somit ebenfalls ein Teilaspekt der Corporate Governance.
ƒ- Mangende Compliance und daraus resultierende Haftungsrisiken stellen ebenfalls ein Risiko für das Unternehmen dar. Compliance Defizite sind somit im Rahmen des Risikomanagements zu betrachten.6

2 Informationstechnologie im Unternehmen

Unter dem Begriff Informationstechnologie (IT) werden alle Technologien zur Beschaffung, Verarbeitung, Speicherung, Übertragung und Ausgabe von elektronischen Daten und Informationen zusammengefasst. IT umfasst somit sowohl Verfahren der Informations- und Datenverarbeitung, als auch Kommunikationsverfahren (Software), die physikalische IT Infrastruktur (Hardware) sowie die Verbindung zwischen den einzelnen Komponenten innerhalb des Unternehmens und mit IT-Komponenten außerhalb des Unternehmens (Netzwerk) (Vanini 2007, S. 1).

Kontextabhängig wird unter „der IT“ zusätzlich oftmals auch die gesamte Aufbau- und Ablauforganisation verstanden, welche für die Einrichtung und den Betrieb informationstechnologischer Verfahren im Unternehmen verantwortlich ist.

Dem IT Management kommt hierbei eine zentrale Rolle für die Steuerung der IT zu. So bestehen die Hauptaufgaben des IT Managements in der Definition der IT Strategie, in der strategischen Planung, in der Entscheidungsfindung sowie in der Umsetzung und deren Kontrolle von IT Maßnahmen und des IT Betriebs.

2.1 Bedeutung der Informationstechnologie

Durch die wachsende Bedeutung des Einsatzes von modernen Mitteln der Informationstechnologie in den Unternehmen ist die Bedeutung der IT von einem eher „notwendigen Übel“ zu einer Kernfunktion geworden, ohne die heutige Unternehmen nicht mehr erfolgreich am Markt operieren könnten.

Einer weltweiten, branchenübergreifenden Umfrage des IT Governance Institutes (ITGI) zufolge stufen 93% aller Befragten auf Top-Management Ebene die Bedeutung der IT für die Erreichung der Unternehmensziele von „irgendwie wichtig“ bis „sehr wichtig“ ein (ITGI 2008b, S. 19). Bezogen auf US-amerikanische Unternehmen weisen 81% der befragten Unternehmen der IT einen „positiven“ bis „sehr stark positiven“ Beitrag zur Unternehmensleistung zu (Holtschke, Pfeifer 2003, S. 15).

Nicht überraschend ist die Situation in deutschen Unternehmen vergleichbar: auch hier wird der IT fast durchgehend ein mittleres bis hohes Relevanzniveau für den Unternehmenserfolg beigemessen (Großgloß et al. 2005, S. 11).

2.2 Erwartungshaltung an die IT

Heutzutage wird von der IT im Unternehmen mehr als eine bloße Unterstützungsfunktion für die eigentlichen Geschäftsprozesse erwartet. Vielmehr steht ein aktiver Beitrag zum Unternehmenserfolg und Wertsteigerung durch den Einsatz von IT auf der Prioritätenliste für das IT Managements ganz oben. Eine berechtigte Forderung, liegen doch die Ausgaben für IT Betrieb und IT Investitionen branchenabhängig mittlerweile zwischen 1,2% und beträchtlichen 4,8% Prozent des Gesamtumsatzes der Unternehmen (Holtschke, Pfeifer 2003, S. 48). Die wesentlichen Ansatzpunkte für den Wertbeitrag der IT bestehen hierbei vor allem in der Steigerung der Produktivität, der Erlangung von Wettbewerbsvorteilen, aber selbstverständlich auch weiterhin in der Abbildung der wesentlichen Geschäftsprozesse, insbesondere im Rahmen des Finanzwesens (Buchhaltung, Rechnungslegung, Berichterstattung, etc.).

Dieses muss natürlich rechts- und normenkonform erfolgen, wodurch das Thema Compliance auch für die IT Bedeutung gewinnt.

2.3 Informationstechnologie als Risiko

Die hohe Abhängigkeit der Unternehmen von der IT birgt auch Risiken. So gehen mehr als 50% der befragten Unternehmen einer globalen, branchenübergreifenden Studie davon aus, dass bereits ein ungeplanter Ausfall der IT Systeme für mehr als 24 Stunden die Existenz des gesamten Unternehmens gefährde (EIU 2008a, S. 8). Es wird schnell klar, dass somit den mit dem Einsatz von IT verbunden Risiken im Rahmen des übergeordneten Risikomanagements auf Unternehmensebene besonderes Augenmerk gewidmet werden muss.

2.4 Governance, Risk & Compliance in der IT

Es zeigt sich, dass die Herausforderungen der Informationstechnologie und die mit ihrer Nutzung verbundenen Risiken nicht mehr allein auf Ebene der obersten Unternehmensführung bewältigt werden können. Gleichwohl die zuvor vorgestellten Bereiche der Corporate Governance, des Risikomanagements auf Unternehmensebene und der Compliance für die IT als Unternehmensteil ihre Relevanz behalten, wurden diese zunehmend auf die konkreten Belange der IT zugeschnitten und finden ihre Entsprechung in den Teildisziplinen IT Governance, IT Risikomanagement und IT Compliance als eigenständigen Handlungsfeldern.

2.4.1 IT Governance

Aus den Ansätzen zur Corporate Governance einerseits, aus der zunehmenden, teils unternehmenskritischen Bedeutung der IT für die allermeisten Unternehmen andererseits hat sich der Begriff der IT Governance herausgebildet. Ebenso wie im Verhältnis zwischen Unternehmensleitung und den Aktionären lässt sich im Verhältnis zwischen der Unternehmensleitung und der IT-Leitung in der Regel ein deutlicher Informationsvorsprung auf Seiten der IT-Leitung beobachten. Eine fachliche Überprüfbarkeit von IT-bezogenen Entscheidungen, welche oftmals auch mit nicht unerheblichen Investitionen verbunden sind, durch die Unternehmensleitung ist meistens nur bedingt möglich. Dies ist vor allem der zunehmenden Komplexität und fachlichen Tiefe der IT geschuldet, welche durch den Nicht-Fachmann kaum noch in jedem Einzelfall zu durchdringen und zu bewerten ist.

Anstelle von fallweiser Kontrolle von IT Aktivitäten durch die Unternehmensleitung muss daher die Vertrauensbildung in das grundsätzliche Funktionieren der IT Führung und IT Führungsentscheidungen treten, welches durch ein klares und transparentes Regelwerk für die zugrunde liegenden Prozesse und Mechanismen erreicht werden kann - die sogenannte IT Governance.

Ebenso wie im Fall der übergeordneten Corporate Governance existiert keine verbindliche, einheitliche Definition dieses Begriffs. Verschiedene Autoren bzw. Institutionen setzen hierbei unterschiedliche Schwerpunkte, sind sich in den grundsätzlichen Eckpunkten jedoch weitestgehend einig:

Das IT Governance Institute (ITGI) definiert die ITG wie folgt (ITGI 2003, S. 11):

„IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt.“

Die Definition von Meyer ist ähnlich, stellt jedoch die Punkte Ressourcen- und Risikomanagement zusätzlich heraus: „Unter IT Governance werden Grundsätze, Verfahren und Maßnahmen verstanden die sicherstellen, dass mit Hilfe der IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden.“ (Meyer et al. 2003)

Diese Sichtweisen werden durch andere Autoren unterstützt, so umfasst IT Governance nach Rath „alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens“ (Rath 2006, S. 1). Zu ihren Aufgaben gehören die „Abstimmung der IT mit der Unternehmensstrategie und den Geschäftszielen, sowie eine operative Steuerung des Betriebes von Anwendungssystemen und die dafür erforderlichen aufbau- und ablauforganisatorischen Maßnahmen“ (Johannsen, Goeken 2006, S. 14). Ihr Schwerpunkt liegt jedoch auf der „Transformation und der Anpassung der IT an die aktuelle und zukünftige Anforderungen, sowie Erkennung und Nutzung der IT- bezogenen Wettbewerbsvorteile“ (vgl. Moormann, Schmidt 2006, S. 314).

Das ITGI definiert als Kernbereiche der IT Governance folgende Bereiche (vgl. ITGI 2003, S. 19 ff.):

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Hauptaufgaben von IT Governance

Die wesentlichen Aufgaben der IT Governance bestehen dem zu Folge insbesondere in den Bereichen

ƒ- Der Steigerung der Wertbeitrages der IT zum Unternehmenserfolg sowie
- Der Minimierung von IT Risiken.

2.4.2 IT Risikomanagement

Risiken für ein Unternehmen, welche aus dem Einsatz von Informationstechnologie im Rahmen der Unternehmensprozesse erwachsen, sind in erster Linie Unternehmensrisiken und sollten daher bereits im Rahmen des übergeordneten Risikomanagements adressiert werden. Um bestehende IT Risiken jedoch überhaupt identifizieren, geschweige denn minimieren zu können, ist in den meisten Fällen umfangreiches Technologieverständnis und Expertenwissen notwendig. Es liegt daher nahe, die Bewältigung der durch IT Einsatz resultierender Risiken in ein spezialisiertes Risikomanagement auszulagern, welches sich als IT Risikomanagement manifestiert.

[...]


1 http://www.was-ist-it-compliance.de, zuletzt geprüft am 20.06.2009

2 Wegweisend waren hierzu die Analysen von Berle und Means (vgl. Berle, Means 1932). Ein kurzer Abriss findet sich im Anhang der Arbeit.

3 Regierungskommission „Corporate Governance - Unternehmensführung - Unternehmenskontrolle - Modernisierung des Aktienrechts“

4 Ein Marktforschungs- und Beratungsunternehmen des Wirtschaftsmagazins The Economist

5 Bezogen auf die Ausgaben US-amerikanischer Firmen, um Compliance Anforderungen gerecht zu werden.

6 Aufgrund des engen Zusammengangs der drei Begriffe hat sich hierfür auch das Akronym GRC (Governance, Risk & Compliance), insbesondere in der Industrie, eingebürgert.

Ende der Leseprobe aus 90 Seiten

Details

Titel
IT Compliance. Regulative Rahmenbedingungen und ihre Bedeutung für den Einsatz der Informationstechnologie im Unternehmen
Untertitel
Unter besonderer Berücksichtigung standardisierter Prozessmodelle
Hochschule
DIPLOMA Fachhochschule Nordhessen; Zentrale
Note
1,7
Autor
Jahr
2009
Seiten
90
Katalognummer
V146452
ISBN (eBook)
9783640574797
ISBN (Buch)
9783640575107
Dateigröße
1216 KB
Sprache
Deutsch
Schlagworte
Compliance, IT, Governance, BilMoG, KonTraG, Risikomanagement, MaRisk, Sox, COSO, Cobit, GoBS, GDPdU, EuroSOX, TMG, TKG
Arbeit zitieren
Martin Runkel (Autor), 2009, IT Compliance. Regulative Rahmenbedingungen und ihre Bedeutung für den Einsatz der Informationstechnologie im Unternehmen, München, GRIN Verlag, https://www.grin.com/document/146452

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: IT Compliance. Regulative Rahmenbedingungen und ihre Bedeutung für den Einsatz der Informationstechnologie im Unternehmen


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden