IT-Compliance. Grundlagen, Bedeutung und Möglichkeiten

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problem
1.2 Zielsetzung
1.3 Vorgehensweise
1.4 Themeneingrenzung

2 Einordnung
2.1 Corporate Governance
2.2 Corporate Compliance
2.3 Risikomanagement

3 IT Compliance
3.1 Bedeutung
3.2 Inhalte
3.2.1 unternehmensinterne Regelwerke
3.2.2 unternehmensexterne Regelwerke
3.2.3 rechtliche Vorgaben
3.2.4 Verträge
3.3 Nutzen
3.4 Schaden

4 Möglichkeiten
4.1 Outsourcing
4.2 Framework

5 Fazit
5.1 Zielerreichung
5.2 Perspektiven

Literaturverzeichnis

Internetquellenverzeichnis

Verzeichnis sonstiger Quellen

Abbildungsverzeichnis

Abbildung 1: Zusammenspiel GRC

Abbildung 2: Inhalte IT-Compliance

Abbildung 3: IT-Compliance nach COBIT 5

Abbildung 4: Nutzen von IT-Compliance

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problem

Durch Konkurrenz von Unternehmen aus anderen Ländern, in denen geringere Lohn- und Nebenkosten als in Deutschland herrschen, drängen mehr und mehr An- bieter auf den Markt, die ggf. günstigere Produkte anbieten können. Das führt dazu, dass auch Unternehmen aus dem Mittelstand mit Informationstechnik(folgend: IT)- gestützten Prozessen und Automatisierungen arbeiten müssen um ihre Kosten ge- ring zu halten.¹

Unternehmen sind mit einer ständig wachsenden Zahl an Vorgaben aus Gesetzen, Verordnungen, Normen, Standards usw. überfordert. Die vielen Regelungen bedeu- ten auch mögliche Konsequenzen bei nichterfüllen und können daher zu einem Ri- siko werden.² Gerade mit der stetig wachsenden IT steigen auch die Anforderungen von Gesetzgebern, Kunden und der Wirtschaft an die IT. Um diesen Anforderungen gerecht zu werden, müssen Unternehmen entsprechende Vorkehrungen treffen um diese Risiken zu vermeiden.

Die Vermeidung derartiger Risiken durch Sicherstellung der Befolgung von Vorga- ben ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der IT-Compli- ance. So stellt sich die Frage: Was ist zu tun, um Compliance zu erreichen? Die Antwort muss jedes Unternehmen je nach Größe und IT-Infrastruktur selbst finden.

Große Unternehmen haben bereits Compliance Abteilungen oder Systeme, die sie leicht anpassen können. Doch was ist mit Unternehmen aus dem Mittelstand, die gerade im IT-Bereich ein geringeres Budget aufweisen. Eine gewisse Einstellung von fachkundigem Personal oder Einkauf von Beratern ist teuer. Geeignete Lösun- gen müssen daher auch für finanziell beschränkte Unternehmen gefunden werden.

1.2 Zielsetzung

Im Rahmen dieser Seminararbeit soll das Thema IT-Compliance in Bezug auf Un- ternehmen beschrieben werden. Dabei wird die Anwendung im Unternehmen, die Einordnung in die Unternehmensführung sowie die Relevanz für Unternehmen, gleich welcher Größenordnung, beschrieben. Anschließend sollen grobe Handlungsmöglichkeiten, insbesondere für mittelständige Unternehmen für die Umsetzung von IT-Compliance erarbeitet und aus der Literatur analysiert werden.

1.3 Vorgehensweise

Die IT-Compliance als Kernelement dieser Arbeit, wird inhaltlich aufgearbeitet. Grundlegende Punkte der Governance und Compliance werden beschrieben. Im Anschluss werden Risiken und Chancen für Unternehmen herauskristallisiert. Im Anschluss an die thematische Aufarbeitung sollen Möglichkeiten entwickelt oder bestehende Konzepte analysiert werden, um IT-Compliance auch in mittelständigen Unternehmen umzusetzen zu können.

1.4 Themeneingrenzung

Im Bereich der IT-Governance und IT-Compliance ist auch das Risk-Management anzusiedeln.³ Innerhalb dieser Arbeit wird dieses allerdings außer Acht gelassen und nicht behandelt.

2 Einordnung

Um mit dem Thema Compliance, das als Instrument der Governance dient, besser umgehen zu können wird es in die Corporate Governance eingeordnet. Wie auf der folgenden Abbildung zu sehen gehört zu Governance auch das Risk-Management und die Compliance. Das Ziel der Compliance wird in den Prozessen der Corporate Governance angestrebt.⁴

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Abbildung nach: Klotz, M. (2009), S. 11.

Abbildung 1: Zusammenspiel GRC.

2.1 Corporate Governance

Die Corporate Governance steht seit den größeren Skandalen, in Deutschland etwa u.a. der Skandal um die Firma Flowtex, in größerer Diskussion in den Medien und Politik. Ein derart großer Fall der Wirtschaftskriminalität, war bis daher nicht häufig aufgetreten. Ein Umdenken in der Politik hat stattgefunden und man fordert mehr Transparenz. Dabei geht es bei dem Begriff um die ordnungsgemäße Unterneh- mensführung⁵, die nach den Skandalen auch in § 91 Abs. 2 und § 93 Abs. 2 AktG, verankert wurde.

Zusammengefasst beinhaltet sie alle intern sowie extern vorgegebenen Werte, Grundsätze, Verfahren sowie Maßnahmen für eine gute und verantwortungsvolle Unternehmensführung. Dies betrifft sowohl die Geschäftsleitung als auch die Mitar- beiter.⁶

Definiert wird sie als Unternehmensverfassung und bezeichnet einen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens⁷.

Die IT-Governance greift als Teil der Corporate Governance dann ein, wenn sich innerhalb des Bereiches der gesteuert und kontrolliert werden soll, IT oder IT-ge- stützte Prozesse befinden.⁸

Als Instrument und auch im Zusammenspiel funktioniert die Corporate Governance nur mit einer funktionierenden Corporate Compliance.

2.2 Corporate Compliance

Bei Compliance geht es vor allem um Vorkehrungen, die das rechtskonforme Verhalten eines Unternehmens, seiner Organe sowie seiner Mitarbeiter in Bezug auf das Unternehmen, gewährleisten.⁹

Dabei handelt es sich bei der Erreichung von Compliance um einen Zustand, der unter der Beachtung der Erfüllung aller gesetzlicher, aufsichtsrechtlicher, vertraglicher sowie normativer Vorgaben und Anforderungen, aber auch die Einhaltung von Standards und Bestimmungen, als gegeben gilt. Sind IT oder IT-gestützte Prozesse vorhanden, spricht man von IT-Compliance.¹⁰

Der Zustand der Compliance ist aber mit all den Anforderungen vermutlich nicht erreichbar. Eine Erfüllung aller Bestimmungen, die innerhalb der Compliance angesiedelt werden, wäre zumindest unwirtschaftlich. Daher spricht man von der Compliance zumindest von der Konformität mit allen relevanten Regularien. Das Unternehmen handelt nach der Begrifflichkeit also dann „compliant“.

Von Non-Compliance spricht man hingegen, wenn Prozesse oder Abläufe im Unternehmen, den Zustand der Compliance nicht erfüllt. Das Compliance-Management steht für die Einführung und Überwachung von Compliance-Systemen, die die Arbeitsabläufe der Compliance automatisch anpassen und kontrollieren.¹¹

2.3 Risikomanagement

Die Kontrolle und auch Ausführung von u.a. der (IT-)Compliance erfordert ein gewis- ses Risikomanagement. Denn jede Vorgabe oder Vereinbarung bedeutet auch gleichzeitig ein gewisses Risiko, wenn es nicht beachtet, nicht erfüllt oder dagegen verstoßen wird. Da es fast unmöglich ist auf alles dabei einzugehen, arbeitet ein gewisses Management dieser Risiken indirekt oder auch direkt der Compliance zu.¹² Auf diesen Punkt wird aber wie bereits beschrieben nicht weiter eingegangen.

3 IT Compliance

Die IT Compliance speziell leistet einen Beitrag für das Gesamt Compliance im Unternehmen und ist speziell für den IT-Bereich da. Die Verantwortung in diesem Bereich unterliegt trotzdem dem Gesamtunternehmen, daher ist die IT-Compliance der IT-Governance und diese der Gesamt-Governance einzuordnen.¹³

3.1 Bedeutung

Die IT-Compliance wird wie die generelle Compliance definiert, hier ist jedoch der besondere Anwendungsbereich in der IT anzusiedeln. Die IT-Compliance betrachtet die Compliance-Verstöße im Bereich der IT-Infrastruktur, IT-gestützten Prozessen und den IT-Anwendungen. Sie liegt vor, wenn nachweislich alle relevanten, verbind- lichen und akzeptierten Vorgaben im IT Bereich eingehalten werden.¹⁴ Dabei können die IT-Dienstleistungen von dem Unternehmen selbst aber auch durch externe IT- Dienstleister erbracht werden.¹⁵

Gerade in der heutigen Zeit in der immer mehr Prozesse automatisiert oder IT-ge- stützt ablaufen, ist die IT-Compliance relevanter denn je. Nicht nur die IT selbst muss compliant sein, sondern ein möglichst IT-gestütztes Kontrollsystem muss entwickelt und implementiert werden. Die Inhalte, die in der IT-Compliance behandelt und stetig im Unternehmen kontrolliert werden müssen, werden in den nächsten Punkten be- handelt.

3.2 Inhalte

Die Inhalte bzw. Vorgaben der IT-Compliance werden innerhalb der folgenden Ab- bildung in vier verschiedene Quellen aufgeteilt. Dabei existieren unternehmensin- terne Regelwerke, unternehmensexterne Regelwerke, rechtliche Vorhaben sowie Verträge. Im Ergebnis bilden sie ein Grundgerüst für die Analyse von Compliance- Anforderungen.¹⁶

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Klotz, M. (2011), S. 4.

Abbildung 2: Inhalte IT-Compliance.

[...]

¹ Vgl. Schepp, B. (2013).

² Vgl. Klotz, M. (2011), S. 2.

³ Vgl. Klotz, M. (2014), S.10.

⁴ Vgl. Falk, M. (2012), S.1.

⁵ Vgl. Klotz, M. (2011), S. 8.

⁶ Vgl. Bergmann, R. (2013), S. 613.

⁷ Vgl. Hauschka, C. u.a. (2016), S. 5.

⁸ Vgl. Falk, M. (2012), S. 37.

⁹ Vgl. Wieland, J. u.a. (2014), S. 18, Rn. 7.

¹⁰ Vgl. Rath, M., Sponholz, R. (2014), S. 25f.

¹¹ Vgl. Klotz, M. (2013), S. 708f.

¹² Vgl. Hauschka, C. u.a. (2016), S. 6.

¹³ Vgl. Rath, M., Sponholz, R. (2014), S. 30.

¹⁴ Vgl. Klotz, M. (2011), S. 3.

¹⁵ Vgl. ebd., S. 6.

¹⁶ Vgl. ebd., S. 20.