IT-Compliance als Herausforderung an Unternehmen

Die Digitalisierung der Geschäftsprozesse in den Unternehmen und somit die Komplexität der IT-Systeme nimmt immer mehr zu. Damit steigen einerseits die rechtlichen und regulatorischen Vorgaben an die IT im Zuge der IT-Compliance wie andererseits auch die betrieblichen Anforderungen an die IT-Unterstützung der Geschäftsprozesse sowie an die Gewährleistung der Ordnungsmäßigkeit, Sicherheit und Verfügbarkeit der IT-Systeme.

Unter IT-Compliance wird die Umsetzung und Einhaltung von gesetzlichen und regulatorischen Anforderungen mit dem Ziel eines verantwortungsvollen und sicheren Umgangs mit sämtlichen IT-Aspekten verstanden.

Der Anforderungsrahmen reicht von der Informationssicherheit über Datenschutz bis zum Aufbau und der Umsetzung des internen Kontrollsystems (IKS). Dabei ist wichtig, dass für die IT-Compliance alle rechtlichen Anforderungen an die IT auch wirklich bekannt sind. Für internationale Konzerne bedeutet das, die Anforderungen der jeweiligen Ländern zu kennen.

Die IT-Compliance muss immer in Kombination mit der IT-Governance betrachtet werden. Letzterer obliegen die Management- und Vorstandsaufgaben zur Steuerung der Organisationsstrukturen, der Prozessintegrität und der Abstimmung der IT auf die Unternehmensstrategie und den damit verbundenen Unternehmenszielen.

Die Anforderungen aus dem IT-Compliance-Bereich sind in der nahen Vergangenheit deutlich angestiegen. Grundsätzlich lassen sich vier Compliance-Anforderungsgruppen unterscheiden:

rechtliche Vorgaben, die entweder gesetzliche Regelungen oder auf gesetzlicher Grundlage erlassene Vorschriften abbilden (BDSG, GoBD, KonTraG, TKG etc.)
vertragliche Vorgaben laut mit Kunden, Lieferanten oder weiteren Partnern abgeschlossenen Verträgen
interne Compliance-Vorgaben (Informationssicherheitsrichtlinie, IT-Audits, SLAs etc.)
externe Compliance-Vorgaben (GoBD und IDW RS FAIT 1, DCGK, ITIL, ISO 20000/27001, Branchenregelungen wie BAIT und VAIT etc.).

Aufgrund der hohen Anzahl und Heterogenität von IT-Compliance-Anforderungen erhöht sich auch die Gefahr der Intransparenz bei der Erfüllung der nationalen und internationalen Vorgaben durch die IT und die Unternehmensführung.

Gleichzeitig steigt mit zunehmender Regulierungsdichte das Risiko potenzieller Regelverstöße gegen IT-Verhaltensgrundsätze, -Richtlinien und -Gesetze. Eine systematische Vorgehensweise bei der Erfüllung von IT-Compliance-Anforderungen ist in diesem Zusammenhang empfehlenswert.

Die IT-Organisation und die Unternehmensführung sollten die IT-Compliance-Anforderungen ganzheitlich im Rahmen eines Compliance Management Systems betrachten, umsetzen und bewerten.

Durch ein wirksames Compliance Management System kann die Gefahr einer Compliance-Regelverletzung minimiert und ein sicheres und effektives IT-Umfeld geschaffen werden.