IT-Compliance: Sicherheit geht vor!

IT-Compliance klingt sperrig und unnötig. Und es lässt sich nur schwer bei Verantwortlichen im Unternehmen verorten. Ist die IT oder die Unternehmensleitung zuständig? Wahrscheinlich keiner von beiden, sondern beide gemeinsam. Welche Aufgaben beinhaltet eine IT-Compliance und wo liegt der Nutzen?
 

Die IT ist die Basis vieler Geschäftsprozesse. Durch die starke Abhängigkeit steigen auch die betrieblichen Anforderungen an die IT-Unterstützung der Geschäftsprozesse. Gleichzeitig muss die IT vermehrt gesetzliche und andere regulatorische Vorgaben erfüllen. All die Anforderungen stellen den Gegenstand der IT-Compliance dar.

Die Anzahl der IT-Compliance-Anforderungen, die z.B. aus Gesetzen, Richtlinien, Verträgen oder Normen resultieren, ist in den letzten Jahren stark gestiegen. Dadurch erhöht sich die Gefahr eines Bruchs zwischen nationalen und internationalen Anforderungen.

Aufnahme und Listung aller Anforderungen

Es empfiehlt sich, zunächst eine Liste der Anforderungen, die an die IT des Unternehmens gestellt werden, anzufertigen. Da die Anforderungen aus unterschiedlichen Bereichen kommen können, ist alleine schon die Aufstellung der Liste eine sinnvolle Auseinandersetzung mit der Themenstellung. Beispiele sind:

Rechtliche Vorgaben:

• Bundesdatenschutzgesetz (BDSG i.V.m. EU-DSGVO), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) u.v.m.;
• Branchenspezifische Vorgaben wie das KWG und die Mindestanforderungen an das Risikomanagementsystem (MaRisk);
• Steuerrechtliche Vorgaben in der AO und den dazu erlassenen GoBD;
   

Verbindliche Verträge:

• Lizenzverträge, Nutzungsbedingungen;
• Individuelle Verträge mit Kunden und Lieferanten etc.;
   

Interne Regelwerke zur Unternehmenssteuerung:

• Richtlinien zur IT-Nutzung, Vorgaben im Notfall, etc.;
   

Externe Regelwerke mit Standardcharakter:

• IT-Infrastructure Library;
• BSI Grundschutz u.v.m;
• Cobit.

Abgleich zwischen Prozessen und Anforderungen

Als nächster Schritt macht es Sinn, die einzelnen betroffenen Geschäftsprozesse zu identifizieren. Z.B. würde bei internen Regeln über die Beschaffung von IT-Komponenten der entsprechende Prozess relevant sein. Die Aufnahme aus dem ersten Schritt setzt sich somit ggf. mit der Aufnahme der betroffenen Prozesse (falls sie nicht schon dokumentiert sind) fort. Hier gibt z.B. der Gesetzgeber die Vorgabe, dass es für digitale Rechnungen einen Kontrollprozess geben muss. Daneben sollte auch analysiert werden, ob die IT-Prozesse z.B. zur Einführung eines neuen Rechnungslegungssystems ebenfalls Kontrollen enthalten, die sicherstellen, dass die an den Prozess zu stellenden Anforderungen erfüllt werden.

Dabei sollte die Verlinkung zwischen den Regelwerken und den Kontrollen beachtet werden, die zur Beurteilung der Regelkonformität notwendig sind. Erst wenn sichergestellt ist, dass die Prozess- und Kontrollbeschreibung die Anforderungen abdecken, kann hinterfragt werden, ob die Kontrollergebnisse nachweisen, dass die IT regelkonform ist.

Unsere Erfahrung zeigt, dass aufgrund des Abgleichs ein entsprechender Maßnahmenkatalog abgeleitet werden kann, der dem Unternehmen und dem Unternehmer Sicherheit gibt.

Nutzbarmachung vorhandener Instrumente

Jedes Unternehmen verfügt über ein internes Kontrollsystem (IKS). Das IKS ist von Unternehmen zu Unternehmen unterschiedlich ausgeprägt und das auch zu Recht. Im Rahmen der IT-Compliance eine Art „Schatten"-IKS aufzubauen, wäre kontraproduktiv. So ist es ratsam, die vorhandenen Kontrollstrukturen und Instrumente um die IT-Compliance-Themen zu erweitern.