Ein Überblick
Ein Überblick
Ein Überblick
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Michael Klotz<br />
<strong>Ein</strong> <strong>Überblick</strong><br />
dpunkt.verlag
Prof. Dr. Michael Klotz<br />
Fachhochschule Stralsund<br />
SIMAT – Stralsund Information Management Team<br />
Fachbereich Wirtschaft<br />
Zur Schwedenschanze 15<br />
18435 Stralsund<br />
michael.klotz@fh-stralsund.de<br />
www.simat.fh-stralsund.de<br />
1. Auflage 2009<br />
Lektorat: Vanessa Wittmer<br />
Copy Editing: Ursula Zimpfer, Herrenberg<br />
Satz und Herstellung: Frank Heidt<br />
Umschlaggestaltung: Helmut Kraus, www.exclam.de<br />
Druck: WÖRMANN & PARTNER, Heidelberg<br />
Artikel-Nr.: 077.95730<br />
Copyright © 2009 dpunkt.verlag GmbH<br />
Ringstraße 19 b<br />
69115 Heidelberg<br />
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten.<br />
Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die<br />
schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies<br />
gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in<br />
elektronischen Systemen.<br />
Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-<br />
Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen<br />
Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz<br />
unterliegen.<br />
Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert.<br />
Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden,<br />
die in Zusammenhang mit der Verwendung dieses Buches stehen.<br />
5 4 3 2 1 0
Michael Klotz<br />
IT-Compliance<br />
<strong>Ein</strong> <strong>Überblick</strong>
2<br />
<strong>Ein</strong>leitung<br />
<strong>Ein</strong>leitung<br />
Wegen Verstoßes gegen das Bundesdatenschutzgesetz werden Bußgelder<br />
in Millionenhöhe verhängt, Vorständen wird wegen eines mangelhaften<br />
Risikofrüherkennungssystems die Entlastung verweigert oder sie müssen<br />
wegen Pannen bei problematischen Finanztransaktionen ihren Posten<br />
räumen. Immer wieder wird von verlorenen oder gestohlenen Daten berichtet.<br />
Zudem halten Bespitzelungsskandale Vorstände und Aufsichtsräte,<br />
aber natürlich auch die Betroffenen und die gesamte Öffentlichkeit in<br />
Atem. Mit der viel beschworenen verantwortungsvollen Unternehmensführung<br />
scheint es immer häufiger nicht gut bestellt zu sein. So wundert<br />
es nicht, dass (mangelhafte) Compliance derzeit nicht nur Tagungsthema<br />
und Gegenstand von Fachpublikationen ist, sondern sogar den Weg in<br />
die Tagespresse findet.<br />
Wie kommt es dazu? Als Ursache dieser Entwicklung beklagen viele<br />
Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen,<br />
Verordnungen, Normen, Standards usw. Für Unternehmen aller Größenordnungen<br />
bedeutet dies wachsende Risiken aus potenziellen Regelverstößen<br />
– die sich schon deswegen ergeben können, weil es eben mittlerweile<br />
kaum noch möglich ist, den <strong>Überblick</strong> zu behalten. Die Vermeidung<br />
derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben<br />
ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der<br />
IT-Compliance. So stellt sich die Frage: Was ist zu tun, um Compliance<br />
zu erreichen? Die Antwort muss jedes Unternehmen selbst finden.<br />
Die Broschüre hilft dabei, ein klares Verständnis für IT-Compliance<br />
zu erlangen und das Thema hinsichtlich anderer Konzepte (Governance,<br />
Sicherheits- und Risikomanagement) zu verorten. Dies ist die notwendige<br />
Grundlage, um Umfang und Nutzen von IT-Compliance zu diskutieren,<br />
an IT-Compliance Beteiligte zu identifizieren und ein Managementsystem<br />
für IT-Compliance einzurichten.<br />
Michael Klotz<br />
Stralsund, Februar 2009
IT-Compliance im Unternehmen<br />
IT-Compliance im Unternehmen 3<br />
Compliance-Begriff<br />
Schon die Bedeutung von »Compliance« ist nicht leicht zu fassen, da<br />
der Begriff der angelsächsischen Rechtsterminologie ent stammt (vgl.<br />
[Hauschka 2007, S. 2]) und in so fern erst in deutsche Wissenschaftsdisziplinen,<br />
Fach dis kussionen und wirt schaft liche Handlungsbereiche eingeordnet<br />
werden muss. Ohne eine der artige, syste ma tische <strong>Ein</strong>ordnung<br />
droht eine »Aufladung« des Compliance-Be griffs mit vorschnellen Identifizierungen<br />
und be lie bi gen Be zügen zur Unternehmenswirklichkeit.<br />
In einem allgemeinen, grundlegenden Verständnis ist ein Unternehmen<br />
»compliant«, wenn es in seiner Geschäfts tätig keit bestimmte relevante<br />
Vor gaben befolgt. Neben »Befolgung« werden auch die Begriffe<br />
»Über ein stim mung«, »<strong>Ein</strong> hal tung«, »Konformität«, »Erfüllung« oder<br />
»Entsprechung« ver wen det. Wel che Vorgaben relevant sind, ist einerseits<br />
unternehmensextern vorgegeben, andererseits selbst ge wählt. Dementsprechend<br />
lässt sich der Com pliance-Begriff wie folgt fassen:<br />
Compliance liegt vor, wenn alle für das Unter neh men verbindlich<br />
vorge gebe nen bzw. als verbindlich akzeptierten Vorgaben nachweislich<br />
ein ge halten werden.<br />
<strong>Ein</strong>e besondere Bedeutung kommt hierbei der nicht nur potenziellen, sondern<br />
auch faktischen Nachweisbarkeit zu. Diese ist notwendig, um sich<br />
im Verdachts- und Streitfall exkulpieren zu können.<br />
Beispiel 1:<br />
Das Landgericht München I hat in seinem Urteil vom 5. April 2007 den Hauptversammlungsbeschluss<br />
zur Entlastung des Vor stands für nich tig erklärt. Bei dem<br />
betreffenden Groß handels unternehmen man gelte es an einer hin rei chenden<br />
Dokumentation des Risiko früh er kennungs sys tems. Die se Doku mentation sah das<br />
Gericht als eine zentrale Aufgabe des Vor stan des an und stuf te die unterbliebene<br />
Dokumentation als wesent lichen Ver stoß gegen § 91 Abs. 2 AktG ein (nach<br />
[LG München I 2007]).
4<br />
IT-Compliance im Unternehmen<br />
Doku men tationspflichten sind zu dem auch ohne explizite Rege lung<br />
erfor derlich, um den zentralen Management anforderun gen der Trans parenz<br />
und Kon trolle zu ge nügen (vgl. [Klotz & Dorn 2008, S. 8]).<br />
So fern die Vorgaben aus Gesetzen stammen, bedeutet dies, dass sich<br />
Un ter neh men an geltendes Recht zu halten haben – was eigent lich eine<br />
Selbst ver ständ lich keit sein sollte. Neben Gesetzen, oder besser Rechtsnor<br />
men, hat ein Unter nehmen jedoch auch weitere Vorgaben aus unterschied<br />
lichen Regel werken zu beachten (s. Abb. 1). Diese er strecken sich<br />
auf Verträge, die die Gruppe der rechtlichen Vorgaben er gän zen, sowie<br />
auf unterneh mens interne und -externe Regelwerke. Die unternehmensexternen<br />
Regelwerke be in halten vor allem Normen und Standards, die für<br />
ein Unternehmen genauso von exis tenzieller Be deu tung sein können wie<br />
die Befolgung gesetzlicher Vorgaben. Dies gilt vor allem für Standards,<br />
die sich in einer Branche durch gesetzt haben und hier somit eine grundlegende<br />
Voraussetzung für die Ge schäfts tätigkeit darstellen.<br />
Unternehmensinterne Regelwerke Unternehmensexterne Regelwerke<br />
Richtlinien<br />
Rechtliche Vorgaben<br />
Kodizes<br />
Hausstandards Gesetze und Rechtsverordnungen Normen<br />
Verfahrens-<br />
anweisungen<br />
Service Level<br />
Agreements<br />
...<br />
Abb. 1 Quellen von Compliance-Vorgaben<br />
Rechtsprechung<br />
Verwaltungsvorschriften<br />
Referenzierte Regelwerke<br />
Verträge<br />
Branchen-<br />
standards<br />
Verbands-<br />
standards<br />
Aktualität von Compliance<br />
Bezüglich der aktuellen Relevanz der Compliance-Thematik ist auf zahlreiche<br />
Beispiele der jüngsten Vergangenheit zu verweisen, in denen sich<br />
Unter nehmen nicht an (vor allem gesetzliche) Vorgaben gehalten haben<br />
und damit eben »nicht compliant« waren. Tabelle 1 nennt einige Fälle,<br />
die in 2008 eine größere Publizität erlangt haben.<br />
...
Institution Fall<br />
IT-Compliance im Unternehmen 5<br />
Lidl Überwachung der Mitarbeiter durch Detekteien per Video; Lidl<br />
wird zu einer Gesamtstrafe in Höhe von 1,462 Mio. € verurteilt<br />
Deutsche<br />
Telekom<br />
Ausspionieren von Journalisten, Telekom-Auf sichtsräten und<br />
eigenen Mitarbeitern<br />
KfW Überweisung von 300 Mio. € aus einem Ter min ge schäft an die<br />
US-Investment bank Lehman Brothers, die am gleichen Tage<br />
einen Insolvenz antrag stellte<br />
<strong>Ein</strong>wohnermeldeämter<br />
T-Mobile<br />
Deutschland<br />
Daten von Bürgern aus rund 200 Städten und Gemein den waren<br />
über Jahre hinweg frei im Internet zugänglich<br />
Datendiebstahl von über 17 Mio. Mobil funk kunden (bereits 2006<br />
erfolgt, aber erst 2008 bekanntgegeben)<br />
Tab. 1 Compliance-relevante Vorfälle im Jahr 2008<br />
In den ausgewählten Fällen spielt die Nutzung von Daten und Infor mations<br />
tech nologie (IT) eine zentrale Rolle. Bei den beiden erstgenannten<br />
Bei spielen ist mit dem vorsätzlichen Missbrauch personen bezogener Daten<br />
ein Verstoß gegen gesetzliche Regelungen offen sichtlich. Im Fall der<br />
Kredit anstalt für Wiederaufbau (KfW) führten un ge nügende Kontrollprozesse<br />
zur Aus führung der Überweisung und dem damit verbundenen<br />
Schaden. Hier ergeben sich zumindest Vorwürfe hinsicht lich einer mangelnden<br />
Effektivität des operativen Ri si ko managements. In den bei den<br />
letztgenannten Fällen mangelte es offenbar an effek tiven Maß nahmen<br />
des Zu griffs schutzes und an entsprechenden Kon trollen, wie sie sowohl<br />
von ge setzlichen Regelungen als auch von Nor men und Standards des<br />
IT-Sicher heitsmanage ments gefordert werden.<br />
Vor allem in den Fällen von Gesetzesverletzungen ist davon aus zu -<br />
gehen, dass die betroffenen Unter nehmen neben Schadensersatzzahlungen<br />
und ge setzlich vorgesehenen Stra fen in der Öffentlichkeit eine<br />
Schädigung ihrer Repu tation, verbunden mit Ver trau ensverlust und Kundenbindung,<br />
erlitten haben. Dies soll jedoch nicht heißen, dass die mangelnde<br />
Befolgung der sons tigen Regelwerke von ge rin ge rer Bedeu tung<br />
ist. Verträge sehen bei Ver letzung vertrag licher Vereinbarungen mitunter<br />
empfindliche Strafzahlungen vor. Der Ver lust von Zerti fikaten als Folge
6<br />
IT-Compliance im Unternehmen<br />
mangelnder Kon for mität mit am Markt übli chen Standards kann Nachteile<br />
bei der Auf trags gewinnung nach sich ziehen. Und die mangelnde Befolgung<br />
unterneh mens interner Rege lun gen führt wie der um zum Verstoß<br />
gegen externe Vor gaben, aber auch zu in ter nen In effi zienzen, Kontrollverlust<br />
und opera tio nellen Risi ken.<br />
Diese Beispiele zeigen, dass die im Unternehmen eingesetzte Infor mations<br />
tech nik eine wesentliche Rolle in der Compliance-Thematik spielt.<br />
Glei ches gilt für die IT-Abteilung, die den <strong>Ein</strong>satz der Informations technik<br />
zur Unterstützung der Unter nehmens prozesse verantwortet. Damit<br />
steht »IT-Com pliance« als Teil bereich des IT-Managements zur Debatte.<br />
Wie prägt sich dieser Teilbereich der Compliance aus?<br />
IT-Compliance<br />
Als Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet<br />
IT-Com pliance einen Zustand, in dem alle für die IT des Unternehmens<br />
rele van ten Vorgaben nachweislich eingehalten werden. Hierbei ist es unerheblich,<br />
ob die IT-Leistungen ausschließlich unternehmensintern oder<br />
(teilweise) durch externe IT-Dienstleister (im Rahmen von Entwicklungs-,<br />
Hosting-, Out sourcing -Verträgen o.Ä.) erbracht werden.<br />
<strong>Ein</strong>e weitere Sichtweise ver steht IT-Compliance als <strong>Ein</strong>satz von Soft-<br />
und Hardwareprodukten, mit deren Hilfe die <strong>Ein</strong>haltung von Regelwerken<br />
sichergestellt werden kann. In diesem Sinne handelt es sich um<br />
»IT-ge stützte Corporate Compliance« [Teub ner & Feller 2008, S. 401].<br />
Diese Interpretation wird vor allem von Herstellern ver treten, die Lösungen<br />
für Secu ri ty- oder Con tent-Management, Archivie rung, Verschlüsselung,<br />
Nutzer-, Zu gangs- und Lizenz verwaltung u.a.m. an bie ten. Aber<br />
auch auf Unter neh mens seite wird dieser Sicht gerne ge folgt, belegt doch<br />
der <strong>Ein</strong>satz derartiger Systeme das Bemühen um Com pliance. Dass diese<br />
Perspektive ihre Berechtigung hat, soll nicht im Geringsten be zweifelt<br />
werden. Im Gegenteil: Ohne die ge nannten Lösungen sind die zahlreichen<br />
Compliance-Anforderungen nicht in den Griff zu be kommen. Aus diesem<br />
Grunde ist es sinn voll, sich die grund legenden Unter schiede zwischen den<br />
beiden Inter pre ta tions mög lich keiten zu verdeutlichen (s. Abb. 2).
Abb. 2 IT-Compliance vs. IT-gestützte Compliance<br />
IT-Compliance im Unternehmen 7<br />
IT-Compliance IT-gestützte Compliance<br />
Träger von<br />
Compliance-Anforderungen<br />
Die IT ist ...<br />
Mittel zur Erfüllung von<br />
Compliance-Anforderungen<br />
»Compliance von IT« »Compliance mit IT«<br />
IT-Com pliance betrachtet die IT als Träger von Compliance-Anfor derun<br />
gen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen<br />
(nach [Klotz & Dorn 2008, S. 9 f.]):<br />
■ Welche Rechtsnormen und ggf. sonstigen Regelwerke sind für die<br />
IT des Unternehmens relevant?<br />
■ Welche IT-gestützten Prozesse und Anwendungen sind betroffen<br />
und welche Anforderungen sind von ihnen zu erfüllen?<br />
■ Welche Risiken resultieren in welcher Höhe aus fehlender oder<br />
mangel hafter Compliance der IT?<br />
■ Welche Compliance-Anforderungen haben die einzelnen Bereiche der<br />
IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?<br />
■ Welche technischen, organisatorischen und personellen Maßnahmen<br />
sind für die Gewährleistung von IT-Compliance zu ergreifen?<br />
IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von<br />
Com pliance genutzt wird. Bei dieser Sichtweise stellen sich beispielsweise<br />
folgende Fragen:<br />
■ Welche Compliance-Anforderungen haben die Geschäftsprozesse<br />
zu er füllen?<br />
■ Welche Compliance-Anforderungen kann eine spezifische Hard-<br />
oder Software adressieren?<br />
■ Welche Hard- oder Softwarelösung ist für die Erfüllung der<br />
Compliance-Anfor de run gen am besten geeignet?<br />
■ Wie sind die verfügbaren Compliance-Tools aufeinander abzustimmen?<br />
Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und<br />
inso fern beide notwendig sind, um Compliance im Allgemeinen und
8<br />
IT-Compliance im Unternehmen<br />
IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch)<br />
IT-gestützte Com pliance vor. <strong>Ein</strong>e auf diesem Wege geschaffene Automatisierung<br />
von Com pliance ist die einzige Mög lichkeit, die Vielzahl heutiger<br />
Compliance-Anfor de rungen zu erfüllen. Dies gilt insbesondere für die<br />
kontinuierliche Über wachung des IT-Betriebs auf Compliance-Verstöße.<br />
Beispiel 2:<br />
Das Bundesdatenschutzgesetz (BDSG) richtet spe zifische An for de run gen an die<br />
Haltung personen be zo ge ner Daten. Zum Schutz dieser Daten sind nach § 9 BDSG<br />
und der zu ge hörigen An lage 1 zahlreiche Kontrollen zu imple men tieren (z.B. Zutritts-,<br />
Zu griffs- oder Verfüg barkeits kon trollen). Um diese Vor gabe zu er füllen,<br />
sind zuerst or ganisa to rische und per so nelle Maß nah men zu er greifen, z.B. die<br />
Durchführung von Risiko- und Schutz be darfs analy sen, die Fest legung von Zugriffsbe<br />
rech ti gun gen, die Planung und Durch führung von Schu lungsmaßnahmen, die<br />
Regelung von Zu tritts- und Zu gang srechten, das Er las sen von Vorschriften für die<br />
Ver ar bei tung von per so nenbezogenen Da ten und die Ver pflich tung der Mit arbeiter<br />
auf diese Vor schriften. Zu einem Großteil führen die se Maß nah men letztlich<br />
zu tech ni schen Lö sun gen, z.B. einer auto ma ti sier ten, funk tions basier ten Zu griffssteu<br />
e rung, ei ner system ge steuerten Passwort ver ga be oder einer auto ma tischen<br />
Daten si che rung (nach [Neundorf 2007, S. 609 ff.]).<br />
Bezug zu Governance und Risikomanagement<br />
Vor dem Hintergrund spektakulärer Betrugsfälle und Bilanz manipu lationen<br />
(beispielsweise Worldcom und Enron in den USA, Flowtex und<br />
Balsam in Deutschland) steht der Begriff »Corporate Governance« seit<br />
nunmehr ca. 15 Jahren für die Diskussion um eine ord nungsgemäße Unternehmensführung.<br />
Von zen tra ler Bedeutung für die betriebliche Überwachung<br />
und Kontrolle ist das 1998 in Kraft getrete ne »Gesetz zur Kontrolle<br />
und Transparenz im Unter nehmensbereich« (KonTraG). Dieses hatte u.a.<br />
die Regelung des § 91 Abs. 2 AktG zur Folge, wonach der Vorstand verpflichtet<br />
ist, »geeignete Maß nah men zu treffen, insbesondere ein Überwachungssystem<br />
einzurichten, damit den Fortbestand der Gesellschaft gefährdende<br />
Entwicklungen früh erkannt werden«. Ähnlich werden häufig<br />
die aus der Section 404 des im Juli 2002 in den USA in Kraft gesetzten<br />
»Sarbanes-Ox ley Act« (SOX) resul tierenden Ver pflichtungen zur <strong>Ein</strong>richtung<br />
eines internen Kontroll systems (IKS) ange führt. In Deutsch land sind<br />
aller dings nur die jenigen (weni gen) Unter neh men von SOX be trof fen, die
IT-Compliance im Unternehmen 9<br />
selbst oder in di rekt als Toch ter ge sellschaft aus län di scher Unter neh men<br />
an US-ame ri ka ni schen Börsen ge listet sind. Ähnliche Pflichten hinsichtlich<br />
der Gestaltung interner Kontroll- und Risiko manage mentsysteme<br />
ergeben sich künftig für einen erweiterten Unter neh mens kreis aus dem<br />
Bilanz rechts moderni sie rungsgesetz (BilMoG).<br />
KonTraG, SOX, BilMoG und weitere Gesetze, aber vor allem auch<br />
bran chen spezifische Vorgaben führen in den betroffenen Unternehmen<br />
zur <strong>Ein</strong> richtung von Risikomanagementsystemen, mit deren Hilfe Risiken<br />
effektiv und effizient identifiziert, bewertet und gesteuert werden sollen.<br />
In diesem Zu sammenhang sind potenzielle Regelverstöße, insbesondere<br />
Gesetzes ver stöße durch Mit arbeiter oder Organe, als Betriebs risi ken<br />
des Unternehmens an zusehen.<br />
Governance, Risikomanagement und Compliance verweisen somit<br />
auf ein an der. Aufgrund der inhaltlichen Zusammenhänge wird neuerdings<br />
von der Trias »Governance-Risk-Com pli ance« (GRC) ge sprochen,<br />
die eine inte grier te Strategie und ein ge mein sa mes Management erfordert.<br />
Dieser allge meine GRC-Zusammenhang ergibt sich nun auch für<br />
die IT. <strong>Ein</strong> IT-Risiko management richtet sich speziell auf die IT-Risiken<br />
des Unter neh mens. Als Schnittmenge von IT-Risiken einerseits und von<br />
mit Regel ver stößen ver bundenen Risiken, d.h. Compliance-Risiken, andererseits<br />
ergeben sich die IT-Compliance-Risiken (s. Abb. 3).<br />
Risiken aus<br />
Regelverstößen<br />
Risiken<br />
IT-Compliance-<br />
Risiken<br />
Abb. 3 IT-Compliance-Risiken als Schnittmenge<br />
IT-Risiken<br />
In einer derartigen risiko orientierten Sichtweise adressiert IT-Compliance<br />
IT-Risi ken, die da durch entstehen, dass die IT nicht wie geplant<br />
funk tioniert, schlecht orga ni siert ist, nicht wie erfor der lich betrieben und<br />
genutzt wird, un zu reichend ver fügbar oder ungenügend ge sichert ist,<br />
manipuliert oder miss braucht werden kann usw., sodass hier durch vor<br />
allem gesetzliche Vorgaben (potenziell) nicht oder nur mangelhaft erfüllt<br />
werden.
10 IT-Compliance im Unternehmen<br />
Regelwerke der Corporate Gover nance können heute häufig nur noch<br />
erfüllt werden, wenn ent spre chen de IT-Maß nahmen ergriffen werden. Vor<br />
allem hinsichtlich der Finanz bericht erstattung muss die Ordnungsmäßigkeit<br />
sowohl der Entwicklung als auch des Betriebs von IT-Anwendungen<br />
nach gewiesen werden können (nach [Johannsen & Goeken 2007, S. 15]).<br />
Cor po rate Go ver nance zieht somit eine spezialisierte IT-Governance nach<br />
sich. Diese rich tet sich auf die Regelung von Verantwortlichkeiten und<br />
Ent schei dungs rechten sowie entsprechende Prozesse und Verfahren mit<br />
dem Ziel, aus der IT-Nutzung einen maximalen Wertbeitrag für das Unternehmen<br />
zu ziehen (vgl. z.B. [Weill & Woodham 2002, S. 1], [Meyer<br />
et al. 2003, S. 445]). Hier zu gehört auch die <strong>Ein</strong> richtung eines IT-Kontrollsystems<br />
(als Bestandteil des IKS), mit dem die Steuerung und Überwachung<br />
der IT im Unternehmen sicher gestellt werden soll. Für die Ausgestaltung<br />
des IT-Kon trollsystems liegen wiederum einschlägige Standards<br />
vor, die insofern Gegen stand der IT-Compliance sind, z.B. Standards und<br />
Stellungnahmen des Instituts der Wirt schafts prüfer (IDW).<br />
Beispiel 3:<br />
Die AXA Konzern AG unterliegt als Toch ter gesellschaft der an der New York<br />
Stock Exchange (NYSE) no tier ten Pariser Muttergesellschaft den Rege lun gen<br />
des »Sarbanes-Ox ley Act«. IT-Risiken wurden im Rah men eines Projektes zur<br />
<strong>Ein</strong>führung eines IKS für die Cash- und Jahres ab schluss prozesse bei der Datenaufbereitung<br />
und -hal tung so wie der manu ellen <strong>Ein</strong>gabe und Wei ter lei tung<br />
von Daten gesehen. Hin sicht lich der SOX-An forderungen wurde die He te ro ge nität<br />
der System landschaft ins gesamt als problematisch be urteilt. Com pliance-Ri siken<br />
er gaben sich auf grund der zahl rei chen Schnittstellen bei der Pflege und der<br />
Daten über tragung zwi schen den ver schie denen An wen dungs sys temen, da hierdurch<br />
die Zuver lässig keit der Kon trol len des IKS nicht beurteilt wer den konnte<br />
(nach [Michels & Krzeminska 2006, S. 141ff.]).<br />
Im Ergebnis erfährt die GRC-Trias eine Spezialisierung im IT-Bereich,<br />
was zu vielfältigen Koordinationsnotwendigkeiten führt. So muss sich<br />
jede Spezialisierung in den jeweiligen generellen Bereich eingliedern, also<br />
z.B. die IT-Compliance in die gene rel len Compliance-Aktivitäten des<br />
Unter nehmens, aber auch mit den anderen Spezialisierungen abgestimmt<br />
werden, beispielsweise IT-Compliance mit IT-Governance und IT-Risikomanage<br />
ment (vgl. Abb. 4).
IT-<br />
Governance<br />
IT-<br />
Compliance<br />
IT-Risiko-<br />
manage-<br />
ment<br />
Abb. 4 Bezüge der IT-Compliance<br />
IT-Compliance im Unternehmen 11<br />
Governance<br />
GRC<br />
Compliance<br />
Risk-<br />
management<br />
IT-G IT-RM<br />
Organisatorischer Geltungsbereich<br />
Der organisatorische Geltungsbereich von IT-Com pliance hängt davon<br />
ab, welche Aufgaben die IT als Unter nehmensfunktion konkret übernimmt.<br />
Die von der IT zu beachtenden Regelwerke differieren nämlich,<br />
je nachdem, ob die IT des Unternehmens nur mit abgegrenzten speziellen<br />
Aufgaben, z.B. der Buchführung, befasst ist oder die gesamte Geschäftstätigkeit<br />
des Unter neh mens umfassend unterstützt. Im Kern wird sich der<br />
organi sa to rische Gel tungs bereich auf folgende Gebiete er strecken:<br />
■ Rechnungswesen (intern/extern)<br />
■ Steuern<br />
■ Personalwesen<br />
■ Vertrieb und Kundenbetreuung<br />
■ Internetpräsenz und elektronische Kommunikation<br />
■ Archivierung und Dokumentenmanagement<br />
■ IT-Beschaffung sowie Betreuung von Software und Hardware<br />
■ Datenschutz<br />
Dieser Umfang zeigt deutlich, dass nicht nur Großunternehmen, sondern<br />
auch mittelständische und sogar kleine Unternehmen von IT-Com pliance<br />
betroffen sind. Drei der oben genannten Bereiche sollen dies verdeutlichen.<br />
IT-C
12 IT-Compliance im Unternehmen<br />
Beispiel 4:<br />
Steuern: Nach § 147 Abs. 6 AO muss ein Unternehmen bei der IT-ge stützten Erstellung<br />
steuerlich relevanter Aufzeichnungen nicht nur die »<strong>Ein</strong> sicht« in diese<br />
Daten ermöglichen, sondern nach Vorgabe des Be triebs prüfers auch die Da ten<br />
entweder selbst auswerten oder den Finanz be hör den auf einem Daten träger zur<br />
Verfügung stellen. Folglich muss die IT dem Be triebs prüfer bei einer Außen prüfung<br />
einen sinn vollerweise auf die relevanten Daten einge schränk ten Zugang<br />
zur Ver fügung stellen bzw. eine Kon ver tierung der Daten in ein für das Finanzamt<br />
lesbares Format vornehmen und diese Daten zwecks Übergabe auf einen Datenträger<br />
übertragen.<br />
Elektronische Kommunikation: Kaum ein Unter neh men verzichtet heu te auf die<br />
Nutzung von E-Mails. Die geschäftliche E-Mail-Kommunika tion ist jedoch Compliance-relevant,<br />
da im Rahmen der Impressumspflicht Angaben zur Fir mie rung,<br />
Rechts form und Ver tretung erforderlich sind (z.B. nach § 37 a HGB).<br />
Archivierung und Dokumentenmanagement: Un ternehmen sind zur Aufbewahrung<br />
und Wiedergabe er hal te ner und ver sendeter Handelsbriefe (nach<br />
§ 257 Abs. 2 HGB alle Schrift stücke, die ein Handelsgeschäft be treffen) verpflichtet.<br />
Die Aufbe wah rung kann auf Daten trägern erfol gen, die verfügbar und jeder zeit<br />
lesbar sein müssen (§§ 238 Abs. 2, 257 HGB). Wird die Geschäfts korres pondenz auf<br />
Daten trägern archiviert, muss die IT deren geordnete Ablage und Auffindbarkeit<br />
eben so wie die Les bar keit auch in Zu kunft und auch im Falle von Softwarewechseln<br />
sicher stellen.
Beteiligte und Interessenlagen<br />
Beteiligte und Interessenlagen 13<br />
Der Kreis der grundsätzlich an der Herstellung von IT-Compliance betei<br />
ligten Personen und Gruppen erweist sich als durchaus umfangreich.<br />
Auch wenn in der fachlichen Diskussion oftmals ein »Compliance Officer«<br />
im Mittelpunkt steht, hat die aufbauorganisa to rische Gestaltung<br />
alle Be tei ligten einzubeziehen (s. Abb. 5) und ihre Auf gaben- und Verantwor<br />
tungs teilung in Bezug auf IT-Compliance zu regeln.<br />
Die Hauptverantwortung für IT-Compliance kommt der Unternehmens<br />
lei tung zu. Dies ergibt sich aus expliziten ge setz lichen Vor gaben<br />
sowie gene rel len Sorgfalts pflich ten der Unternehmens organe (zwecks<br />
Ver mei dung eines Orga nisa tions verschuldens).<br />
IT-Abteilung<br />
IT-<br />
Sicherheitsmanagement <br />
IT-Vertragsmanagement <br />
Fachabteilungen<br />
Controlling <strong>Ein</strong>kauf<br />
Rechtsabteilung<br />
Unternehmensleitung<br />
Geschäftsprozessmanagement<br />
Abb. 5 An IT-Compliance beteiligte Gruppen und Funktionen<br />
Datenschutzbeauftragter <br />
IT-Risikomanagement<br />
ext.<br />
Wirtschaftsprüfer<br />
IT-Revision<br />
Vor allem das KonTraG hat mit der persön li chen Inanspruchnahme von<br />
Vorstandsmitgliedern dafür ge sorgt, dass Com pliance heute die Aufmerk<br />
sam keit der Unternehmensleitung er langt. So drohen bei Ver stößen<br />
gegen Com pliance-Anforderungen die Ver wei gerung der Ent lastung<br />
(s. Bei spiel 1), eine Ab be ru fung, eine außerordentliche frist lose Kündigung<br />
oder gar eine per sön liche Haftung.<br />
Die Unternehmensleitung muss zur Wahrnehmung ihrer Compliance-<br />
Verant wortung konzeptionelle und operative Aufgaben und die hierfür<br />
er for der lichen Befugnisse delegieren. Der Kreis der hierfür zur Ver fügung<br />
stehen den Funktionsträger hängt von der Unternehmensgröße, der Gesellschafts<br />
form und der Branchenzugehörigkeit ab. In jedem Falle sind aber die<br />
IT-Abteilung und die Fachabteilungen als Hauptbeteiligte ein zu be ziehen.
14 Beteiligte und Interessenlagen<br />
■ Die IT-Abteilung und ihre Leitung bzw. der Chief Information<br />
Officer (CIO) haben den Großteil an Maßnahmen zur Erfüllung<br />
der Compliance-An for de rungen zu planen und durchzu führen,<br />
zumindest soweit es die informations- und kommunikationstechnischen<br />
Mittel anbelangt. Hierbei sind die Entwicklung und<br />
der Betrieb von IT-Systemen selbst an Stan dards (wie der Information<br />
Technology Infra struc ture Li bra ry – ITIL) aus zurichten,<br />
oder die Anforderun gen aus Gesetzen (wie beispielsweise dem<br />
BDSG) sind direkt umzusetzen. Hierzu müssen IT-Kontrollen einge<br />
führt wer den, entweder als prozessintegrierte Kon trollen einzelner<br />
IT-An wendun gen (z.B. <strong>Ein</strong>gabeprüfungen) oder als generelle<br />
IT-Kon trol len, die auf die ge samte IT wirken. Beispiele für<br />
generelle IT-Kon trollen sind Benutzer berech ti gungskonzepte,<br />
Zugriffs schutzverfahren und Change-Manage ment-Ver fahren.<br />
■ Auch die Fachabteilungen tragen eine Verantwortung für die Erfüllung<br />
von Compliance-Anforderungen – und zwar immer dann,<br />
wenn organi sa to rische oder personelle Maßnahmen ergriffen<br />
und ent sprechende Kon trollen eingeführt werden. Vor allem die<br />
»Aware ness« für IT-Com pli ance, insbesondere für Datenschutz<br />
und Daten sicher heit, muss bei den IT-Nutzern in den Fachabteilungen<br />
entwickelt werden.<br />
In größeren Unternehmen ist weiterhin eine ganze Reihe von Stellen und<br />
Funktionen potenziell mit IT-Compliance befasst.<br />
■ Die unternehmensinterne Rechtsabteilung stellt in der Regel im<br />
Auftrage der Unternehmensleitung die <strong>Ein</strong>haltung von rechtlichen<br />
Vorgaben im Unter nehmen sicher. Die juristische Beurteilung<br />
gesetzlicher und ver trag li cher Anfor derungen an die IT ist<br />
eine Kernkompetenz der Rechts ab tei lung, der so mit eine wich tige<br />
Verantwortung auch für die IT-Compliance zu kommt.<br />
■ <strong>Ein</strong>e weitere Schnitt stelle ergibt sich zum Geschäftsprozessmanagement<br />
hinsichtlich der Compliance von Geschäftsprozessen.<br />
Soweit Stel len mit spezialisierter Prozessverantwortung ein gerichtet<br />
sind (sog. pro cess owner), ist zu prüfen, ob und ggf. in wieweit<br />
ihr Ver ant wor tungsbereich um Aspekte der IT-Compliance<br />
zu er wei tern ist.
Beteiligte und Interessenlagen 15<br />
■ Der oben beschriebene inhaltliche Zusammenhang zwischen<br />
IT-Risiko management und IT-Compliance erfordert auch auf institutioneller<br />
Ebene eine Zusammenarbeit zwischen den entsprechenden<br />
organisatorischen <strong>Ein</strong> hei ten. Soweit sich das Risikomanagement<br />
auf existenzgefährdende Unter nehmensrisiken konzentriert,<br />
werden in Bezug auf die IT die Be rei che des Notfalls- und<br />
Kontinuitätsmanagements im Vordergrund stehen. <strong>Ein</strong> weiterer<br />
Bereich der Zusammenarbeit kann das Management von IT-Projektrisiken<br />
sein, wenn für die Unternehmensentwicklung we sentliche<br />
IT-Entwicklungen be troffen sind.<br />
■ Ähnliches gilt für das IT-Sicherheitsmanagement. Zahlreiche Regelwerke<br />
(bspw. BDSG, ISO 27001, ITIL) stellen Anforderungen<br />
an die Sicherheit der IT-Systeme bzw. ihre Komponenten (z.B.<br />
IT-Infrastruktur, IT-An wen dungen, Daten, IT-Prozesse). Viele<br />
IT-Sicher heits lösun gen können dazu beitragen, Anforderungen<br />
der IT-Compliance zu erfüllen (wie Bei spiel 2 für das BDSG zeigt).<br />
■ Mit dem Vertragsmanagement sind in manchen Unter nehmen<br />
anstelle der Rechtsabteilung die <strong>Ein</strong>kaufs abteilung oder das Controlling<br />
befasst, so dass diese Stellen mitunter auch Überwachungs-<br />
und Steu e rungs auf gaben bei der Durchführung von IT-Verträgen<br />
wahrnehmen. Falls ver trag lich geregelte Leis tun gen im Rahmen<br />
von IT-Projekten erbracht werden, kann das Ver trags controlling<br />
auch Aufgabe des IT-Projekt manage ments sein.<br />
■ Mit dem durch das Bundesdatenschutzgesetz in § 4f BDSG vorge<br />
schrie benen Datenschutzbeauftragten gibt es zudem eine Stelle<br />
im Unter nehmen, die bezogen auf das Gebiet des Daten schutzes<br />
bereits eine Com pliance-Funktion wahrnimmt.<br />
■ Wenn Buchführung und Finanz transaktionen des Unternehmens<br />
IT-ge stützt erfolgen, ist die Ord nungs mäßigkeit der IT Gegenstand<br />
sowohl der externen Jahresabschlussprüfung als auch der internen<br />
Revision. Hier zu haben beide Prüfungsinstanzen unter anderem<br />
die Ange messen heit und Wirksamkeit des IT-Kontrollsystems<br />
zu be urteilen, indem sie die Durch führung verschiedener IT-Kontrollen<br />
prüfen. Hierbei orientieren sie sich an ent sprechenden<br />
Standards und Normen zum Prüf wesen, zur IT-Sicher heit und<br />
zum IT-Risiko management.
16 Beteiligte und Interessenlagen<br />
Neben den hier aufgeführten gibt es weitere Stellen und Funktionen, die<br />
sich nach Branchenerfordernissen richten. Auch hier gibt es häufig Bezüge<br />
zur IT-Compliance, sodass diese Stellen ebenfalls zu beteiligen sind.<br />
Beispiel 5:<br />
Das Wertpapierhandelsgesetz (WpHG) schreibt für Wertpapierdienst leis tungs unternehmen<br />
(dies sind u.a. Kredit- und Finanzdienstleistungsinstitute) in § 33 Abs. 1 WpHG<br />
die <strong>Ein</strong> richtung einer Compliance-Funktion vor. Diese hat darauf hinzuwirken, dass die<br />
Verpflichtungen des WpHG vom Unternehmen und seinen Mit ar beitern eingehalten<br />
werden. Hierzu hat sie u.a. eine Über wachungsfunktion wahrzunehmen, Compliance-<br />
Richtlinien zu entwickeln, die Compliance-Orga nisation weiterzuentwickeln und der<br />
Ge schäftsleitung Bericht zu er statten (nach [IIR 2003, S. 96]).<br />
Das Interesse der Stelleninhaber und Funktionsträger an IT-Compliance<br />
wird sich nach dem Inhalt und dem Umfang der an sie delegierten Ver antwortung<br />
richten. In jedem Falle steht eine persönliche Haftung infrage,<br />
nicht nur für die Unternehmensleitung. Bei einer nicht regelkonformen<br />
Auf gaben aus füh rung können prinzipiell auch Mitarbeiter zur Ver antwortung<br />
gezogen und haft bar gemacht werden. Für ausführende Mitarbeiter<br />
ergibt sich dies aus den Regelungen zur Arbeitnehmerhaftung<br />
(vgl. [Bitkom 2005, S. 6]).<br />
In vielen Unternehmen stellt sich derzeit die Herausforderung, überhaupt<br />
erst einmal eine allgemeine Compliance-Funktion einzurichten,<br />
in die es wie de rum die Verantwortung für IT-Compliance zu integrieren<br />
gilt. In dieser Konstellation bietet sich für die Beteiligten die Chance, den<br />
eigenen Auf ga ben- und Verant wortungsbereich zu erweitern. Mitunter<br />
kön nen sich so auch neue Karriere pfade eröffnen. Auf der anderen Seite<br />
droht neue Konkurrenz um Ressourcen und <strong>Ein</strong>fluss. Diese Un sicherheiten<br />
gilt es bei der insti tu tio nellen Verankerung von (IT-)Com pliance<br />
im Unternehmen durch eine klare Aufgaben- und Verantwortungs teilung<br />
zu beseitigen. Diese Klärung zu ini tiie ren und durchzusetzen, bildet die<br />
zentrale Verantwortung der Unter neh mens leitung.
Nutzen von IT-Compliance<br />
Nutzen von IT-Compliance 17<br />
Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vorschrif<br />
ten soll IT-Compliance ein Unternehmen vor allem vor wirtschaftlichen<br />
Nach teilen als Folge von Rechts ver letzungen bewahren. Es sollen<br />
insbeson dere Schadens er satz pflichten, Stra fen, Buß- und Zwangsgelder,<br />
aber auch erhöhte Steu er zahlungen aufgrund von Schätzungen des Finanzamts<br />
ver mie den werden. So kann beispielsweise ein Schaden entstehen,<br />
wenn ein Unter nehmen im Rahmen einer ge richt lichen Auseinandersetzung<br />
beweis erheb liche Daten und Dokumente nicht vorlegen und<br />
damit seiner Beweispflicht nicht nach kommen kann (vgl. [Bücking 2007,<br />
S. 17]). Wird im Zu sam men hang mit steuerrelevanten Unter lagen gegen<br />
Archi vie rungs pflichten ver stoßen, drohen Straf zahlungen wegen Steuerver<br />
kür zung. Zusätzlich zu diesen mone tären Schäden ist ein poten ziel ler<br />
Image schaden von Bedeutung. Dieser kann sich leicht ein stellen, wenn<br />
etwa gegen Daten schutz normen verstoßen wird oder Kunden daten missbraucht<br />
werden. Folgen können eine nega tive Publizität, Nach teile bei<br />
der Vergabe öffentlicher Aufträge oder gar Kun den ab wan derungen sein.<br />
Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen<br />
zielt, ist IT-Compliance mit folgenden Vorteilen verbunden (s. Ab b. 6,<br />
vgl. [Böhm 2008, S. 26 f.]).<br />
Erhöhung<br />
der IT-Qualität<br />
Vermeidung<br />
von Nachteilen<br />
Senkung<br />
der IT-Kosten<br />
Abb. 6 Nutzen von IT-Compliance<br />
Nutzen von<br />
IT-Compliance<br />
Erhöhung des<br />
Wertbeitrags der IT<br />
Reduzierung<br />
von IT-Risiken<br />
Erhöhung<br />
der IT-Sicherheit
18 Nutzen von IT-Compliance<br />
■ Wertbeitrag<br />
Wenn die IT eines Unternehmens ihre Compliance nach wei sen<br />
kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des<br />
Unter nehmens wertes. Erweisen sich bestimmte Standards (z.B.<br />
Sicherheits zerti fika te) als Markteintrittsbarrieren, ist der Wertbeitrag<br />
offensichtlich. Ohne die Konformität zu derartigen externen<br />
Vorgaben könnten Umsatz chan cen nicht genutzt werden.<br />
Andererseits kann mangelnde IT-Com pliance zu Abschlägen bei<br />
der Bestimmung des Unternehmenswertes im Falle von Unternehmenstransaktionen<br />
führen, wenn sich während einer Due-Dilligence-Prüfung<br />
IT-Compliance-Risiken offenbaren.<br />
■ IT-Qualität<br />
Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu<br />
einer höheren Qualität von IT-Prozessen bei. Dies ist ins besondere<br />
dann der Fall, wenn Compliance-Anforderungen und Kon trollen<br />
als Elemente des IKS systematisch auf einander abgestimmt werden.<br />
Hieraus resultiert eine höhere Transparenz, die die ge samte<br />
IT-Architektur umfasst und letztlich ein effektives Enterprise Architecture<br />
Management (EAM) unter stützt. <strong>Ein</strong>e in diesem Sinne<br />
verbesserte Qualität führt zu einer Reduzierung der Kom plexität<br />
der IT-Infrastruktur und damit zu einer verbesserten Steuerungsfähigkeit,<br />
aber auch Auditierbarkeit der IT.<br />
■ IT-Sicherheit und IT-Risiken<br />
Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des<br />
IT-Be triebs sicherstellen, adressieren zu einem hohen Anteil die<br />
IT-Sicher heitsziele der Vertraulichkeit, Verfügbarkeit und Integrität.<br />
Hieraus resul tieren Synergiepotenziale, die bei einer abgestimmten<br />
Vorgehens weise realisiert werden können. Auf diese<br />
Weise entfaltet IT-Compliance zu sätz liche Nutzenpotenziale für<br />
die IT-Sicher heit. Glei ches gilt für das IT-Risikomanagement.<br />
Auch dieses wird durch oftmals gleich gerichtete Maß nahmen der<br />
IT-Compliance ver stärkt.<br />
■ IT-Kosten<br />
Die verschiedenen Maßnahmen der IT-Compliance verursachen<br />
selbst ver ständlich Kosten. Da die Maßnahmen aber auch<br />
aus Gründen der Ri si ko reduzierung und der Erhöhung der<br />
IT-Sicherheit erfolgen, lassen sich die damit verbundenen Kosten
Nutzen von IT-Compliance 19<br />
oft nicht eindeutig der IT-Compliance zu rech nen. Dies gilt natürlich<br />
auch umgekehrt für die Kosteneinsparungen, die sich<br />
u.a. aus der Automatisierung manueller Arbeitsabläufe (bspw.<br />
bei der Überwachung oder im Reporting), geringeren Kosten in<br />
der IT-Ad ministration und -War tung oder bei der Durchführung<br />
von Prüfungs handlungen ergeben. Der ROI von Maßnahmen<br />
der IT-Compliance kann – wenn überhaupt – somit nur in einem<br />
größeren Zusammenhang er mittelt wer den. Trotzdem gilt, dass<br />
IT-Compliance zwar Investitionen er fordert, aber auch zur Reduzierung<br />
von IT-Kosten beiträgt.
20 IT-relevante Regelwerke<br />
IT-relevante Regelwerke<br />
Klassifikation der Regelwerke<br />
Es lassen sich grundsätzlich vier Gruppen von Regelwerken unterscheiden,<br />
die in ihrer Summe ein Grundgerüst für eine systematische Analyse<br />
von Com pliance-Anforderungen darstellen:<br />
■ rechtliche Vorgaben, d.h. Rechtsnormen (also vom Gesetzgeber er lassene<br />
Gesetze sowie auf deren Grund lage von den Verwaltungen er lasse ne<br />
Rechtsverordnungen), Rechtsprechung sowie Ver waltungsvorschriften<br />
und weitere Regel werke, auf die in Gesetzen, Rechtsverordnungen und<br />
Verwal tungs vor schriften verwiesen wird oder die von der Recht sprechung<br />
zur Auslegung herangezogen werden;<br />
■ Verträge, die ein Unternehmen mit Kunden, Lieferanten und sonstigen<br />
Marktpartnern abschließt und die IT-relevante Vereinbarungen<br />
enthalten;<br />
■ unternehmensexterne, auf IT-bezogene Regelwerke, wie Normen,<br />
Standards, Zertifikate oder Richtlinien vielfältiger Institutionen;<br />
■ unternehmensinterne Regelwerke, wie Un ternehmensrichtlinien,<br />
Orga ni sations- oder Ver fahrens an wei sungen, Service Level Agreements<br />
(SLAs) oder Hausstandards, soweit sie IT-rele vante Vorgaben<br />
enthalten.<br />
Mit der Überlegung, dass sowohl der Bindungsgrad als auch das Risiko<br />
bei einem Verstoß in der genannten Reihenfolge tendenziell abnehmen,<br />
ergibt sich das in Abbildung 7 dargestellte »Zwiebelmodell«.<br />
Bei Rechtsnormen und Verträgen ergeben sich höhere Risiken, weil<br />
hier oft ein mo ne täres Straf maß entweder gesetzlich oder ver trag lich<br />
geregelt ist bzw. aus Vertragsver letzun gen teilweise bestands gefähr dende<br />
Schadens er satz pflichten resultieren kön nen. Außerdem kommen in<br />
diesen Fällen häufig Vertrauensverlust und Image schäden hinzu, die das<br />
Schadensausmaß zu sätzlich erhöhen. Durch straf ver folgende Institutionen<br />
bzw. Vertrags part ner, die ihre Interessen wah ren wollen, ergibt sich<br />
auch eher die Wahr schein lich keit, dass ein Ver stoß re kla miert und ein<br />
Anspruch verfolgt und durchgesetzt wird.<br />
Bei den externen Regelwerken ist zu beachten, dass diese ggf. aufgrund<br />
Verweis oder Heran ziehung zur Auslegung der Rechtsnormen
IT-relevante Regelwerke 21<br />
letztlich deren Bindungs wirkung und das daraus resultierende Risiko teilen.<br />
Die Regelwerke dieser Gruppe erlangen somit dann eine höhere Bindungswirkung,<br />
wenn ihre <strong>Ein</strong>haltung von Dritten (z.B. Wirtschaftsprüfern,<br />
Kunden) eingefordert wird.<br />
n Risiko h<br />
Abb. 7 Zwiebelmodell für Compliance-relevante Regelwerke<br />
Rechtliche Vorgaben<br />
interne Regelwerke<br />
externe Regelwerke<br />
Verträge<br />
Rechtsnormen<br />
Bindung n<br />
h = hoch<br />
n = niedrig<br />
Gesetze und Rechtsverordnungen<br />
Im Zentrum der rechtlichen Vorgaben stehen Rechtsnormen, also Gesetze<br />
und Rechtsverordnungen. Die Notwendigkeit zur <strong>Ein</strong>haltung der IT-Compliance<br />
ergibt sich nicht nur aus Gesetzen, die sich schon vom Namen her<br />
offen sichtlich auf die IT beziehen, wie beispielsweise das Bundesdatenschutz<br />
gesetz, das Signaturgesetz (SigG) oder das Telemediengesetz (TMG).<br />
Vielmehr regeln zahlreiche weitere Ge setze den IT-<strong>Ein</strong>satz im Unternehmen,<br />
z.B. das Betriebsverfassungsgesetz (BetrVG), das Strafgesetzbuch<br />
(StGB) sowie hinsichtlich der Buchführungs- und steuerlichen Pflichten das<br />
Handels gesetzbuch (HGB) und die Abgabenordnung (AO) nebst Teilen der<br />
einzelnen Steuergesetze. Vertragliche Anforderungen sind insbesondere im<br />
Bürger lichen Gesetzbuch (BGB) geregelt. Weiterhin zählen zu dieser Gruppe<br />
die Rechtsentwicklungen, die sich auf EU-Ebene vollziehen (z.B. BASEL II<br />
oder die 8. EU-Richtlinie, auch kurz »Euro-SOX« genannt).<br />
Rechtsprechung<br />
Zu den rechtlichen Vorgaben zählt weiterhin die Rechtsprechung, die die<br />
Rechts normen auslegt und damit wesentlich deren Inhalt bestimmt. Dies<br />
be trifft in besonderem Maße sogenannte unbestimmte Rechtsbegriffe<br />
h
22 IT-relevante Regelwerke<br />
bzw. Gene ral klauseln. Beispiele hierfür sind die »übliche Beschaffenheit«,<br />
die das Vor liegen eines Mangels im Werkvertragsrecht bestimmt, oder<br />
die »im Verkehr erforderliche Sorgfalt«, deren Missachtung den Vorwurf<br />
fahrlässigen Ver haltens begründet.<br />
Beispiel 6:<br />
Das Oberlandesgericht Hamm hat eine unterlassene Datensicherung bei Schäden,<br />
die durch Datenverluste infolge von Programmfehlern entstehen, als Mit verschulden<br />
gewertet. In dem entschiedenen Fall hatte dies zur Folge, dass die<br />
Geltendmachung von Schadens ersatzansprüchen verhindert wurde (nach [OLG<br />
Hamm 2003]).<br />
Verwaltungsvorschriften<br />
Auch ohne dass es sich um Rechtsnormen im engeren Sinne handelt, sind<br />
für IT-Compliance ferner Regelwerke relevant, die von den zuständigen<br />
(Auf sichts-)Behörden zur Interpretation und Ausführung der Rechtsnormen<br />
auf ge stellt oder erklärtermaßen herangezogen werden. Diese Regelwerke<br />
be wir ken rechtlich eine Selbstbindung der Ver waltung, in dem sie<br />
die Anwen dung der Rechtsnormen durch die Verwaltung be stim men.<br />
Beispiel 7:<br />
Sowohl die »Grundsätze ordnungsmäßiger DV-gestützter Buchführungs syste<br />
me« (GoBS) als auch die »Grundsätze zum Datenzugriff und zur Prüf bar keit<br />
digitaler Unterlagen« (GDPdU) wurden vom Bundesministerium für Finanzen<br />
als Verwaltungsanweisung erlassen. Sie interpretieren die Rege lungen der<br />
Abgabenordnung zu den Anfor derun gen an die ordnungsgemäße Buchführung<br />
beim <strong>Ein</strong>satz IT-gestützter Buch haltungssysteme und bei Verwendung digitaler<br />
Unterlagen.<br />
In Bezug genommene Regelwerke<br />
Regelwerke, die als solche keinen Rechtsnormcharakter haben und sowohl<br />
von Verwaltungen wie auch von privatrechtlichen Institutionen<br />
(z.B. dem DIN Deutsches Institut für Normung) stammen können, haben<br />
für die IT-Compliance die gleiche Bedeutung wie Rechtsnormen, wenn sie<br />
durch aus drückliche Verweisung in diese einbezogen werden.
Beispiel 8:<br />
IT-relevante Regelwerke 23<br />
Die der MaRisk (Mindestanforderungen an das Risikomanagement) zuge hörige<br />
Erläuterung verweist auf die vom Bundesamt für Sicherheit in der Informationstechnik<br />
(BSI) herausgegebenen IT-Grundschutzkataloge (vgl. [BaFin 2006, S. 15]). Dies<br />
hat zur Folge, dass Kredit institute, um keinen Be an standungen der BaFin (Bundesan<br />
stalt für Finanzdienstleistungsaufsicht) aus gesetzt zu sein, ein Sicherheits niveau<br />
entsprechend den IT-Grund schutz katalogen realisieren müssen.<br />
Verträge<br />
Vertragsverstöße stellen für ein Unternehmen operationelle Risiken dar,<br />
die es mittels einer effektiven und effizienten Vertragssteuerung zu managen<br />
gilt. Zwei Gruppen von Verträgen sind hier von Bedeutung:<br />
■ Verträge allgemeiner Art, deren Vertragsgegenstand sich nicht<br />
auf IT-Belange konzentriert, die aber einzelne IT-relevante Regelungen<br />
ent hal ten (beispielsweise zum Austausch oder zur Aufbewahrung<br />
von Infor ma tionen) oder die dem Vertragsdokument als<br />
IT-Objekt einen schutz wür di gen Status zuerkennen (was gewöhnlich<br />
durch eine Geheim haltungs ver ein barung geschieht);<br />
■ spezifische IT-Verträge, deren Vertragsgegenstand sich auf<br />
IT-Leistun gen bezieht und die dadurch direkt relevant sind für<br />
IT-Compliance.<br />
Während das Vertragscontrolling Leistungserbringer und -empfänger<br />
kon ti nuier lich im Auge behalten muss, stehen aus Compliance-Sicht<br />
nur die jeni gen vertraglichen Vereinbarungen im Fokus, aus denen sich<br />
IT-spezifische Pflichten und Obliegenheiten des Unternehmens als Vertragspartner<br />
ergeben. Diese beziehen sich z.B. auf die <strong>Ein</strong>haltung bestimmter<br />
End- und Zwi schen termine (Meilensteine), die Erfüllung von<br />
Mitwirkungs- und Dokumen ta tions pflichten sowie Geheimhaltungsabreden<br />
(vgl. [Klotz & Dorn 2005, S. 101]). In Bezug auf das Risikomanagement<br />
stehen solche Rege lungen im Vorder grund, aus denen sich Risiken<br />
hin sicht lich potenzieller Fristsetzungen (Inver zug setzung), Schadensersatzansprüche<br />
oder Vertragsstrafen ergeben.
24 IT-relevante Regelwerke<br />
Unternehmensexterne Regel werke<br />
In die Gruppe der unternehmensexternen Regelwerke fallen viele derjenigen<br />
Regelwerke, die derzeit im IT-Management große Aufmerksamkeit<br />
erfahren, vor allem die als »Framework«, »Referenzmodell« oder<br />
»Best-Practise-Mo dell« gehandelten Standards, wie CMMI (Capability<br />
Maturity Model Inte gra tion), ITIL und COBIT (Control Objectives<br />
for Information and Related Tech no logy). Insgesamt sind die in dieser<br />
Gruppe vertretenen Regel werke höchst unter schiedlich. Die Spannbreite<br />
reicht von Richtlinien supra natio na ler Organisa tio nen, wie der OECD,<br />
über nationale und inter nationale Normen (z.B. ISO 20000, ISO 2700x),<br />
Standards inter nationaler und nationaler Ver bands orga ni sationen und<br />
behördlicher <strong>Ein</strong> richtungen bis hin zu Empfeh lun gen oder Kon zepten,<br />
die sich über die Zeit durch Infor mations- und Er fah rungs aus tausch in<br />
der Fachwelt herausgebildet haben.<br />
Aus Sicht der IT-Compliance sind in dieser Gruppe vor allem Regelwer<br />
ke von hoher Relevanz, die als Basis für Testierungen oder Zertifi<br />
zie run gen dienen. Hierzu zählen vor allem die bereits erwähnten<br />
Prüfungsstandards der Wirt schafts prüfer (in Bezug auf die Abschlussprüfung<br />
sind dies IDW PS 330 und IDW RS FAIT 1 bis 3).<br />
Unternehmensinterne Regel werke<br />
Bei unternehmensinternen Regelungen ist die Bindungswirkung auf dasjeni<br />
ge Unternehmen beschränkt, das die jeweilige Regelung in Kraft setzt.<br />
Bei spiele für unternehmensinterne Regelungen aus dem IT-Bereich sind<br />
in terne IT-Richtlinien oder -Verfahrensvorgaben zur IT-Sicherheit (z.B.<br />
IT-Sicher heitsvorschriften, E-Mail-Richtlinien, Regelungen zum Umgang<br />
mit Pass wörtern etc.). Aber auch zwischen der IT-Abteilung und den<br />
Fach ab tei lun gen vereinbarte Service Level Agreements zählen zu dieser<br />
Gruppe.<br />
Interne Regelwerke sind aus zweierlei Hinsicht Compliance-relevant.<br />
Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anforde<br />
run gen aller anderen Regelwerke sicherzustellen, indem sie konkrete<br />
Hand lungs an weisungen für die Organisationsmitglieder vorgeben. Hierdurch<br />
dokumen tieren sie zum anderen nach außen, dass externen Verpflichtungen,<br />
ins be sondere rechtlichen Vorgaben, nachgekommen wird.
IT-relevante Regelwerke 25<br />
Beispiel 9:<br />
Die ITIL (Information Technology Infra struc ture Li bra ry) ist eine um fassen de, nicht<br />
proprie täre, öffent lich publizierte Ver fahrens em pfehlung für die Pla nung, den<br />
Betrieb, die Über wachung und Steuerung von IT-Services. Erar beitet wurde die<br />
ITIL durch die Central Com puter and Tele commu ni cations Agency (CCTA), eine<br />
IT-Dienst leistungs orga ni sation der bri ti schen Re gierung, in Zusam men arbeit mit<br />
Experten, Be ratern und erfahrenen Be rufs praktikern. Den Kern bilden in der aktu<br />
ellen dritten Version fünf Bücher. ITIL ver steht sich als Best-Practise-Sam m lung.<br />
<strong>Ein</strong>e Zer ti fizie rungsmöglich keit gibt es auf einer indivi du el len Ebene bzw. in sti tutionell<br />
nach ISO 20000. Heute besteht die ITIL-»Be we gung« aus allen Ingredienzen<br />
eines pro fessio nel len Manage mentkon zeptes: Trai nings angebote inkl. qualifizierter<br />
Zer tifi kats ab schlüsse, Beratung und unabhängiger Er fah rungs austausch<br />
in ner halb spe zieller Organisa tio nen, Um setzungs hilfen und Softwaretools.<br />
Bei COBIT (Control Objectives for Information and Related Tech no logy)<br />
handelt es sich um ein Referenzmodell (»Framework«), das Unter nehmen eine<br />
methodische Unterstützung bietet, um IT-Ressourcen (d.h. An wen dungen,<br />
Informationen, IT-In fra struk tur und Per so nal) für die Er reichung von Wettbewerbsvor<br />
teilen zu nutzen (nach [ITGI 2005, S. 12]). Seit 1993 wurde COBIT vom inter natio<br />
nalen Prü fungs verband ISACA (Infor ma tion Sys tems Audit and Control Associa<br />
tion) ent wickelt und erst mals Ende 1995 ver öffent licht. Aktuell liegt COBIT in<br />
der Version 4.1 vor (die deut sche Aus gabe in der Version 4.0). Die erste Version<br />
von COBIT legte den Schwer punkt auf sogenannte Kontroll ziele und adres sier te<br />
damit vor allem die Arbeit von Wirtschaftsprüfern. Im Ver lauf der letz ten Jahre<br />
ent wickelte sich COBIT zunehmend zum Manage ment ins tru ment, mit dem die<br />
IT nicht nur nach gelagert geprüft, sondern auch proaktiv ge stal tet wer den kann.<br />
COBIT berück sichtigt wich tige Normen und Standards (z.B. ITIL, CMMI, ISO/IEC<br />
17799) und kann auf grund seiner über ge ordneten Ma nage ment- und Steuerungs<br />
sicht als Inte gra tor die nen, wenn ein Unternehmen diese Nor men und Standards<br />
gleich zeitig nut zen will (vgl. [ITGI 2005, S. 197]).
26 Management der IT-Compliance<br />
Management der IT-Compliance<br />
Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die<br />
heu te fast durchgängige IT-Unter stützung aller Unternehmensprozesse<br />
sind Compliance-Anfor derun gen nicht mehr lediglich auf steuerliche oder<br />
daten schutzrechtliche Belange be grenzt. Vielmehr geht es darum, dass<br />
die gesamte geschäftliche Tätigkeit eines Unternehmens »com pliant« mit<br />
verschiedensten Rege lungen sein muss. Um den diversen Transparenz-,<br />
Prozess-, Nach weis- und Kontroll an for de rungen nachzukommen, sind<br />
Maßnahmen zu er grei fen, die letzt lich Auswirkungen bis auf jeden einzelnen<br />
Arbeitsplatz haben.<br />
Hierbei gilt es vor allem die Com pliance-Anforderungen der ver schiedenen<br />
Regelwerke aufeinander ab zustimmen, um Doppelarbeit zu vermeiden.<br />
Insofern bilden die Identifizie rung von Compliance-relevanten<br />
Regelwerken sowie die Ab leitung und Doku men ta tion der Compliance-<br />
Anforderungen, die vom Unter nehmen mit ggf. unter schied licher Priorität<br />
einzu halten sind, den ersten und wich tigsten Auf gaben bereich eines<br />
Manage ments der IT-Com pliance (vgl. [Klotz 2007, S. 17], Abb. 8(1)).<br />
Weitere Auf gabenbereiche sind:<br />
■ die Schaffung einer betrieblichen Organisation von Prozessen,<br />
Verfah rens rege lungen, Delegationen und (möglichst weitgehend<br />
automa ti sier ten) Kontrollen zur Über wachung der <strong>Ein</strong>haltung aller<br />
Anforderungen der IT-Compliance (Abb. 8(2));<br />
■ die Information aller in irgendeiner Form im Hinblick auf die beste<br />
hen den Ver pflichtungen handelnden Betriebsangehörigen und<br />
ggf. ent spre chend ein gesetzter Dritter über die einzuhaltenden<br />
Regelungen (Abb. 8(3));<br />
■ die Dokumentation sowohl der Information als auch der Organisation<br />
und insbe son dere deren Überwachung (Abb. 8(4));<br />
■ die <strong>Ein</strong>richtung eines Change-Managements zur Reaktion auf<br />
neue Ent wicklungen der Anforderungen, z.B. innerhalb der aktuellen<br />
Recht spre chung oder erkannter Compliance-Schwach stellen<br />
und -Risiken (Abb. 8(5)).
Management der IT-Compliance 27<br />
Die ablauforganisatorische Gestaltung dieser Aufgaben führt zu den<br />
wesent lichen IT-Compliance-Prozessen, die den Kern eines Managementsystems<br />
für IT-Compliance bilden (s. Abb. 8).<br />
Aufgaben-<br />
und<br />
Verant-<br />
wortungs-<br />
teilung<br />
IT-<br />
Compliance-Ziele<br />
� Erfüllung von Vorgaben<br />
� Steigerung des Wertbeitrags der IT<br />
� Erhöhung der IT-Qualität<br />
� …<br />
GRC-Koordination<br />
(1) (2) (3) (4) (5)<br />
IT-Compliance-Berichtswesen<br />
Abb. 8 Managementsystem für IT-Compliance<br />
Methoden<br />
und<br />
Tools<br />
Alle Compliance-Aktivitäten haben sich an den Zielen der IT-Compliance<br />
aus zurichten, die sich zwar generell auf die Erfüllung von Vorgaben richten,<br />
aber hinsichtlich der relevanten Re gelwerke sowie der weiteren Zielsetzun<br />
gen unternehmensspezifisch zu kon kre tisieren sind. Maßnahmen<br />
zur Her stellung von IT-Compliance sind mit dem GRC-Management des<br />
Unter nehmens zu koordinieren und durch ein Berichtswesen zu er gänzen,<br />
das die Unternehmensleitung über den Status der Zielerreichung,<br />
Com pliance-Schwach stellen und -Risiken sowie wesentliche Projekte der<br />
IT-Compliance unterrichtet. Zu dem sind die IT-Compliance-Prozesse auf<br />
der Basis einer festgelegten und kommuni zier ten Aufgaben- und Ver ant -<br />
wortungsteilung aus zuführen und durch Methoden und Tools zu unterstützen.
28 Ausblick<br />
Ausblick<br />
IT-Compliance zeigt sich im Vor han den sein und Funktionieren spe zi fischer<br />
in for mations- und kom munikations tech ni scher <strong>Ein</strong>rich tun gen, im<br />
Vorliegen von Not fallplänen, System architekturen oder Dokumentationen<br />
von Prüf hand lungen, im kon kre ten Um gang mit Daten und IT-Systemen,<br />
in au to ma tisierten Kontrollen und manuellen Prüfprozeduren,<br />
Zugangs kon zep ten und Sicherheitsklassifizierungen, in der Möglichkeit<br />
eines kurz fris ti gen Daten zugriffs, im Vorhandensein von IT-Richtlinien<br />
und ihrer nachvoll zieh baren Befolgung u.v.a.m. Viele der genannten Objekte,<br />
Mecha nis men und Hand lungen sind jedoch ebenso Gegenstand<br />
eines IT-Risiko- und eines IT-Sicher heitsmanagements. IT-Compliance<br />
steht mit diesen beiden Be rei chen des IT-Managements in engem Zusammenhang,<br />
lässt sich aber den noch nicht auf einen oder beide dieser Bereiche<br />
zurückführen. Die Be fol gung ver bind lich vor gegebener oder selbst<br />
gewählter professioneller Re gel werke wird in der Ge samtheit weder vom<br />
IT-Risiko- noch vom IT-Sicher heits manage ment sicher gestellt.<br />
Im Zentrum eines Managements der IT-Compliance muss das Bemühen<br />
stehen, die Anforderungen der verschiedenen Regelwerke miteinander<br />
abzu stim men, um Komplexität zu reduzieren und Doppelarbeit<br />
zu vermeiden. Erst auf die ser Basis sollten Kontrollen zur Überwachung<br />
der <strong>Ein</strong>haltung von Compliance-Anforderungen kon zi piert und – wo<br />
möglich – automatisiert wer den. Hierbei soll ten integrierte technische<br />
Lö sun gen eingesetzt wer den. Ansonsten dro hen unkoordinierte Vorgehensweisen<br />
und isolierte Lösun gen, die im Nachgang nur mit ungleich<br />
größerem Aufwand zu inte grie ren sind.<br />
Die aktuelle Herausforderung für Unter neh men besteht darin, die mit<br />
IT-Com pliance ver bundene Verant wor tung zu erfassen und strukturell,<br />
pro zes su al, methodisch und instru men tell um zusetzen. Dies erfordert die<br />
Initiative und den Rückhalt der Unterneh mens leitung – in ihrem eigenen<br />
Interesse.
Literatur<br />
Literatur 29<br />
[BaFin 2006] Bun des an stalt für Finanz dienst leistungsaufsicht (BaFin): Erläuterun<br />
gen zu den Mindestanforderungen an das Risikomanagement (MaRisk),<br />
Fassung vom 04.05.2006, AT 7.2, verfügbar unter: http://www.bundesbank.<br />
de/download/bankenaufsicht/pdf/marisk/060504_erl.pdf<br />
(Zugriff am 02.01.2009).<br />
[Bitkom 2005] Bundesverband Informationswirtschaft, Telekommunikation und<br />
neue Medien e.V.: Matrix der Haftungsrisiken – IT-Sicherheit, Pflichten und<br />
Risiken. April 2005, verfügbar unter: http://www.bitkom.org/de/themen_<br />
gremien/36737_31034.aspx (Zugriff am 02.01.2009).<br />
[Böhm 2008] Böhm, Markus: IT-Compliance als Triebkraft von Leistungssteigerung<br />
und Wert bei trag der IT. In: HMD – Praxis der Wirtschafts infor matik,<br />
2008, Jg. 45, Heft 263, S. 15-29.<br />
[Bücking 2007] Bücking, Jens: »Compliance« in Privat wirt schaft und öffentlicher<br />
Ver waltung, ins be sondere bei E-Mails und digitalen Dokumenten: Rechtsfragen<br />
der Archi vie rung und Beweisverwertbarkeit, White paper, herausgegeben<br />
von Fujitsu Siemens Com pu ters, März 2007.<br />
[Hauschka 2007] Hauschka, Christoph E.: § 1, <strong>Ein</strong>führung. In: Hauschka,<br />
Ch. E. (Hrsg.): Corporate Compliance – Hand buch der Haftungsvermeidung<br />
im Unter nehmen. Beck, München, 2007, S. 1-25.<br />
[IIR 2003] IIR – Deutsches Institut für Interne Revision: Compliance-Organisation<br />
und Wert papierdienstleistungsgeschäft – Revisionsleitfaden für<br />
Wertpapier dienst leister. IIR Schriftenreihe 35, Erich Schmidt, Berlin, 2003.<br />
[ITGI 2005] IT Governance Institute (ITGI): COBIT 4.0, Deutsche Ausgabe,<br />
Rolling Meadows: ITGI 2005, verfügbar unter: http://www.isaca.at/Ressourcen/<br />
CobiT% 204.0%20Deutsch.pdf (Zugriff am 02.01.2009).<br />
[Johannsen & Goeken 2007] Johannsen, Wolfgang; Goeken, Matthias: Referenzmodelle<br />
für IT-Governance – Strategische Effektivität und Effizienz mit<br />
COBIT, ITIL & Co. dpunkt.verlag, Heidel berg, 2007.<br />
[Klotz 2007] Klotz, Michael: IT-Compli ance – auf den Kern reduziert.<br />
In: IT-Gover nance, 2007, Jg. 1, Heft 1, S. 14-18.<br />
[Klotz & Dorn 2005] Klotz, Michael; Dorn, Dietrich-W.: Controlling von IV-Beschaffungsverträgen<br />
– Bedeutung, Ziele und Aufgaben. In: HMD – Praxis<br />
der Wirt schaftsinformatik, 2005, Jg. 42, Heft 241, S. 97-106.
30 Literatur<br />
[Klotz & Dorn 2008] Klotz, Michael; Dorn, Dietrich-W.: IT-Compliance – Begriff,<br />
Um fang und rele van te Re gelwerke. In: HMD – Praxis der Wirtschafts informatik,<br />
2008, Jg. 45, Heft 263, S. 5-14.<br />
[LG München I 2007] Landgericht München I, Urteil vom 05.04.2007 –<br />
5 HKO 15964/06.<br />
[Meyer et al. 2003] Meyer, Matthias; Zarnekow, Rüdiger; Kolbe, Lutz M.:<br />
IT-Governance – Begriff, Status quo und Bedeutung. In: Wirtschaftsinformatik,<br />
2003, Jg. 45, Nr. 6, S. 445.<br />
[Michels & Krzeminska 2006] Michels, Thomas; Krzeminska, Anna: Sarbanes-<br />
Oxley Act und Six Sigma als Instru men te des Prozess-Controllings bei der<br />
AXA Konzern AG. In: v. Werder, A.; Stöber, H.; Grundei, J. (Hrsg.): Or ganisations-Controlling<br />
– Konzepte und Praxisbeispiele. Gabler, Wiesbaden,<br />
2006, S. 135-151.<br />
[Neundorf 2007] Neundorf, Lutz: Daten schutz. In: Hauschka, Ch. E. (Hrsg.):<br />
Cor po rate Com pliance – Handbuch der Haftungsvermeidung im Unternehmen.<br />
Beck, München, 2007, S. 593-612.<br />
[OLG Hamm 2003] Oberlandesgericht Hamm, Urteil vom 01.12.2003,<br />
13 U 133/03.<br />
[Teubner & Feller 2008] Teubner, Alexander; Feller, Tom: Informationstechnologie,<br />
Gover nance und Compliance. In: Wirtschaftsinformatik, 2008, Jg. 50,<br />
Nr. 5, S. 400-407.<br />
[Weill & Woodham 2002] Weill, Peter; Woodham, Richard: Don’t Just Lead,<br />
Govern: Implementing Effective IT Governance, CISR Working Paper<br />
No. 326, MIT, Center for Infor ma tion Systems Research November 2002,<br />
p. 1, verfügbar unter: http://mitsloan.mit.edu/cisr/papers.php (Zugriff am<br />
02.01.2009).
Kompetenz,<br />
über die man spricht.<br />
Qualifi zieren Sie sich mit dem Dual-Zertifi kat der<br />
Frankfurt School of Finance & Management und der<br />
ISACA. Informieren Sie sich über die Möglichkeiten,<br />
wie IT-Governance <strong>Ein</strong>gang in die betriebliche Praxis<br />
fi nden kann.<br />
� IT-Alignment, IT-Compliance<br />
� Wertbeitrag der IT<br />
� IT-Risikomanagement<br />
� IT-Governance mit COBIT<br />
� Service- und Sicherheitsmanagement<br />
� Frameworks im COBIT-Umfeld<br />
(CMMI, VAL IT, PMBOK)<br />
� Ergänzende Methoden und weitere Entwicklungen<br />
Investieren Sie in Ihre Zukunft.<br />
Buchen Sie jetzt Ihre Teilnahme.<br />
Weitere Informationen: Tel. 069 154008-184<br />
www.frankfurt-school.de/it-governance
� �����������<br />
�������������������������������<br />
� � � � �����������������<br />
����������<br />
�����������������������<br />
���������������������<br />
�������������������<br />
���������<br />
���������������������<br />
����������������������<br />
�������������������������<br />
�����������������������������<br />
��������������������������<br />
���������������<br />
�<br />
������������������������<br />
��������������������������<br />
������������������������������<br />
������������������������������<br />
����������������������������<br />
�������������������������������<br />
�����������������������������<br />
�����������������������������<br />
������������������������<br />
���������������������<br />
������������<br />
�����������<br />
��������<br />
������������������������������������������������<br />
�������������������������������������������������������������������
WIE ERFAHREN SIE MEHR?<br />
Wenn Sie mit Systementwicklung, Systemsicherheit,<br />
Qualitätskontrolle oder dem Betrieb oder der Überwachung<br />
einer Computerinstallation zu tun haben oder dafür<br />
verantwortlich sind, werden Sie bestimmt von ISACA<br />
profitieren.<br />
Weiteres erfahren Sie unter:<br />
Internet: www.isaca.de<br />
sowie unter www.isaca.org<br />
Vereinsadresse: ISACA German Chapter e.V.<br />
Postfach 18 03 99<br />
60084 Frankfurt | Main<br />
E-Mail: webmaster@isaca.de<br />
Berufsverband der<br />
IT-Revisoren &<br />
IT-Sicherheits-Manager
Know-how für IT-Profis – Zeitschriften im dpunkt.verlag<br />
�����������������������������������������������������������<br />
�������������<br />
�������������<br />
������������������������������������������<br />
��������������������������<br />
�����������������������������������������<br />
�������������������<br />
�����������������������������������������������<br />
��������������������<br />
������������������������������ ������������<br />
Heft 6 | November 2008 | 3. Jahrgang | ISSN 1861-9258 | http://itsm.dpunkt.de<br />
Heft 6 | November 2008 | 3. Jahrgang | ISSN 1861-9258 | http://itsm.dpunkt.de<br />
�Veränderungsmanagement<br />
Veränderungsmanagement<br />
� CITIL = CMMI+ITIL<br />
� Service-Desk 2.0<br />
� IT-Serviceorientierung<br />
� Lizenzmanagement<br />
itSMF<br />
������������� IT Service Management Forum Deutschland e.V.<br />
HMD<br />
Heft 263<br />
Oktober 2008<br />
dpunkt.verlag<br />
IT-Governance<br />
IT-Governance ist das offizielle<br />
Organ des German Chapter of<br />
»The Information System Audit<br />
and Control Association« e.V.<br />
(ISACA)<br />
Erscheinungsweise:<br />
2 Ausgaben pro Jahr<br />
ISSN: 1864-6557<br />
Zeitschrift des itSMF Deutschland e.V.<br />
Praxis der<br />
Wirtschaftsinformatik<br />
Knut Hildebrand . Stefan Meinhardt (Hrsg.)<br />
���������� �<br />
���� ����������<br />
Û Wertbeitrag von IT-Compliance<br />
Û Information Lifecycle Management<br />
Û Automatisierung von Compliance<br />
Û Compliance Reporting<br />
Û IT-Outsourcing<br />
Û IT-Compliance im Mittelstand<br />
Û Zugriffs- und Zugangskontrollen<br />
Û SAP GRC Risk Management<br />
� ����� � ���� ��������� � ���� �����������������<br />
it-Service-Management<br />
it-Service-Management ist das<br />
offizielle Organ des IT Service<br />
Management Forum (itSMF)<br />
Deutschland e.V.<br />
Erscheinungsweise:<br />
2 Ausgaben pro Jahr<br />
ISSN: 1861-9258<br />
� ������ ������<br />
HMD – Praxis der<br />
Wirtschaftsinformatik<br />
HMD richtet sich an Fach- und<br />
Führungskräfte in der IT, im<br />
Software Engineering und an<br />
alle, die Wirtschaftsinformatik<br />
praxisnah studieren wollen.<br />
Erscheinungsweise:<br />
6 Ausgaben pro Jahr<br />
ISSN: 1436-3011
Georg Herzwurm<br />
Wolfram Pietsch<br />
Management<br />
von IT-Produkten<br />
Geschäftsmodelle, Leitlinien und<br />
Werkzeugkasten für software intensive<br />
Systeme und Dienstleistungen<br />
2009, 388 Seiten<br />
€ 42,00 (D)<br />
ISBN 978-3-89864-562-1<br />
Martin Kütz<br />
Kennzahlen in der IT<br />
Werkzeuge für Controlling<br />
und Management<br />
3., überarbeitete und<br />
erweiterte Auflage<br />
2009, 364 Seiten,<br />
€ 42,00 (D)<br />
ISBN 978-3-89864-579-9<br />
Wolfgang Johannsen<br />
Matthias Goeken<br />
Referenzmodelle für<br />
IT-Governance<br />
Strategische Effektivität<br />
und Effizienz COBIT,<br />
ITIL & Co<br />
2007, 280 Seiten<br />
€ 44,00 (D)<br />
ISBN 978-3-89864-397-9<br />
Gerd Nicklisch<br />
Jens Borchers<br />
Ronald Krick<br />
Rainer Rucks<br />
IT-Near- und -Offshoring<br />
in der Praxis<br />
Erfahrungen und Lösungen<br />
2008, 308 Seiten<br />
€ 42,00 (D)<br />
ISBN 978-3-89864-533-1<br />
dpunkt.it-business
dpunkt.it-business<br />
Christoph Zahrnt<br />
IT-Projektverträge:<br />
Rechtliche<br />
Grundlagen<br />
2008, 432 Seiten,<br />
€ 49,00 (D)<br />
ISBN 978-3-89864-474-7<br />
Frank R. Lehmann<br />
Integrierte<br />
Prozessmodellierung<br />
mit ARIS®<br />
2008, 246 Seiten<br />
€ 32,00 (D)<br />
ISBN 978-3-89864-497-6<br />
Christoph Zahrnt<br />
IT-Projektverträge:<br />
Erfolgreiches<br />
Management<br />
2009, 334 Seiten,<br />
€ 39,00 (D)<br />
ISBN 978-3-89864-560-7<br />
Christian Setzwein<br />
Monika Setzwein (Hrsg.)<br />
Turnaround-<br />
Management von<br />
IT-Projekten<br />
Krisen meistern, neue<br />
Stärken gewinnen<br />
2008, 314 Seiten<br />
€ 42,00 (D)<br />
ISBN 978-3-89864-439-6
Michael Klotz<br />
IT-Compliance<br />
IT-Compliance ist eines der zentralen Themen der IT-Governance. Die ständige<br />
Zunahme an Regelwerken (Gesetze, Verordnungen, Normen, Standards,<br />
Verträge, Richtlinien etc.) auch für die IT führt für Unternehmen aller Größenordnungen<br />
zu einer Intransparenz der zu beachtenden Regeln. Hieraus resultiert<br />
u.a. eine beträchtliche Unsicherheit in Bezug auf die Risiken potenzieller<br />
Regelverstöße. Zielsetzung der IT-Compliance ist es, derartige Risiken durch<br />
Sicherstellung der Befolgung von Compliance-Anforderungen zu vermeiden.<br />
Diese Broschüre liefert Ihnen einen <strong>Überblick</strong> über alle Aspekte der IT-Compliance.<br />
Sie zeigt den Zusammenhang zwischen IT-Compliance, IT-Governance<br />
und IT-Risikomanagement auf, sodass Sie den Nutzen von IT-Compliance für<br />
Ihr Unternehmen besser einschätzen können. Darüber hinaus werden die<br />
relevanten Regelwerke erläutert, die eine <strong>Ein</strong>haltung der wichtigen Vorgaben<br />
nachweislich sicherstellen. Auf dieser Basis kann ein Compliance-Management<br />
für die IT etabliert werden, das die verschiedenen beteiligten Personen<br />
und Gruppen im Unternehmen einbezieht und koordiniert.<br />
Art.-Nr.: 077.95730<br />
www.dpunkt.de