Ein Überblick

Michael Klotz
Ein Überblick
dpunkt.verlag

Prof. Dr. Michael Klotz
Fachhochschule Stralsund
SIMAT – Stralsund Information Management Team
Fachbereich Wirtschaft
Zur Schwedenschanze 15
18435 Stralsund
michael.klotz@fh-stralsund.de
www.simat.fh-stralsund.de
1. Auflage 2009
Lektorat: Vanessa Wittmer
Copy Editing: Ursula Zimpfer, Herrenberg
Satz und Herstellung: Frank Heidt
Umschlaggestaltung: Helmut Kraus, www.exclam.de
Druck: WÖRMANN & PARTNER, Heidelberg
Artikel-Nr.: 077.95730
Copyright © 2009 dpunkt.verlag GmbH
Ringstraße 19 b
69115 Heidelberg
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten.
Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die
schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies
gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in
elektronischen Systemen.
Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-
Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen
Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz
unterliegen.
Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert.
Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden,
die in Zusammenhang mit der Verwendung dieses Buches stehen.
5 4 3 2 1 0

Michael Klotz
IT-Compliance
Ein Überblick

2
Einleitung
Einleitung
Wegen Verstoßes gegen das Bundesdatenschutzgesetz werden Bußgelder
in Millionenhöhe verhängt, Vorständen wird wegen eines mangelhaften
Risikofrüherkennungssystems die Entlastung verweigert oder sie müssen
wegen Pannen bei problematischen Finanztransaktionen ihren Posten
räumen. Immer wieder wird von verlorenen oder gestohlenen Daten berichtet.
Zudem halten Bespitzelungsskandale Vorstände und Aufsichtsräte,
aber natürlich auch die Betroffenen und die gesamte Öffentlichkeit in
Atem. Mit der viel beschworenen verantwortungsvollen Unternehmensführung
scheint es immer häufiger nicht gut bestellt zu sein. So wundert
es nicht, dass (mangelhafte) Compliance derzeit nicht nur Tagungsthema
und Gegenstand von Fachpublikationen ist, sondern sogar den Weg in
die Tagespresse findet.
Wie kommt es dazu? Als Ursache dieser Entwicklung beklagen viele
Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen,
Verordnungen, Normen, Standards usw. Für Unternehmen aller Größenordnungen
bedeutet dies wachsende Risiken aus potenziellen Regelverstößen
– die sich schon deswegen ergeben können, weil es eben mittlerweile
kaum noch möglich ist, den Überblick zu behalten. Die Vermeidung
derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben
ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der
IT-Compliance. So stellt sich die Frage: Was ist zu tun, um Compliance
zu erreichen? Die Antwort muss jedes Unternehmen selbst finden.
Die Broschüre hilft dabei, ein klares Verständnis für IT-Compliance
zu erlangen und das Thema hinsichtlich anderer Konzepte (Governance,
Sicherheits- und Risikomanagement) zu verorten. Dies ist die notwendige
Grundlage, um Umfang und Nutzen von IT-Compliance zu diskutieren,
an IT-Compliance Beteiligte zu identifizieren und ein Managementsystem
für IT-Compliance einzurichten.
Michael Klotz
Stralsund, Februar 2009

IT-Compliance im Unternehmen
IT-Compliance im Unternehmen 3
Compliance-Begriff
Schon die Bedeutung von »Compliance« ist nicht leicht zu fassen, da
der Begriff der angelsächsischen Rechtsterminologie ent stammt (vgl.
[Hauschka 2007, S. 2]) und in so fern erst in deutsche Wissenschaftsdisziplinen,
Fach dis kussionen und wirt schaft liche Handlungsbereiche eingeordnet
werden muss. Ohne eine der artige, syste ma tische Einordnung
droht eine »Aufladung« des Compliance-Be griffs mit vorschnellen Identifizierungen
und be lie bi gen Be zügen zur Unternehmenswirklichkeit.
In einem allgemeinen, grundlegenden Verständnis ist ein Unternehmen
»compliant«, wenn es in seiner Geschäfts tätig keit bestimmte relevante
Vor gaben befolgt. Neben »Befolgung« werden auch die Begriffe
»Über ein stim mung«, »Ein hal tung«, »Konformität«, »Erfüllung« oder
»Entsprechung« ver wen det. Wel che Vorgaben relevant sind, ist einerseits
unternehmensextern vorgegeben, andererseits selbst ge wählt. Dementsprechend
lässt sich der Com pliance-Begriff wie folgt fassen:
Compliance liegt vor, wenn alle für das Unter neh men verbindlich
vorge gebe nen bzw. als verbindlich akzeptierten Vorgaben nachweislich
ein ge halten werden.
Eine besondere Bedeutung kommt hierbei der nicht nur potenziellen, sondern
auch faktischen Nachweisbarkeit zu. Diese ist notwendig, um sich
im Verdachts- und Streitfall exkulpieren zu können.
Beispiel 1:
Das Landgericht München I hat in seinem Urteil vom 5. April 2007 den Hauptversammlungsbeschluss
zur Entlastung des Vor stands für nich tig erklärt. Bei dem
betreffenden Groß handels unternehmen man gelte es an einer hin rei chenden
Dokumentation des Risiko früh er kennungs sys tems. Die se Doku mentation sah das
Gericht als eine zentrale Aufgabe des Vor stan des an und stuf te die unterbliebene
Dokumentation als wesent lichen Ver stoß gegen § 91 Abs. 2 AktG ein (nach
[LG München I 2007]).

4
IT-Compliance im Unternehmen
Doku men tationspflichten sind zu dem auch ohne explizite Rege lung
erfor derlich, um den zentralen Management anforderun gen der Trans parenz
und Kon trolle zu ge nügen (vgl. [Klotz & Dorn 2008, S. 8]).
So fern die Vorgaben aus Gesetzen stammen, bedeutet dies, dass sich
Un ter neh men an geltendes Recht zu halten haben – was eigent lich eine
Selbst ver ständ lich keit sein sollte. Neben Gesetzen, oder besser Rechtsnor
men, hat ein Unter nehmen jedoch auch weitere Vorgaben aus unterschied
lichen Regel werken zu beachten (s. Abb. 1). Diese er strecken sich
auf Verträge, die die Gruppe der rechtlichen Vorgaben er gän zen, sowie
auf unterneh mens interne und -externe Regelwerke. Die unternehmensexternen
Regelwerke be in halten vor allem Normen und Standards, die für
ein Unternehmen genauso von exis tenzieller Be deu tung sein können wie
die Befolgung gesetzlicher Vorgaben. Dies gilt vor allem für Standards,
die sich in einer Branche durch gesetzt haben und hier somit eine grundlegende
Voraussetzung für die Ge schäfts tätigkeit darstellen.
Unternehmensinterne Regelwerke Unternehmensexterne Regelwerke
Richtlinien
Rechtliche Vorgaben
Kodizes
Hausstandards Gesetze und Rechtsverordnungen Normen
Verfahrens-
anweisungen
Service Level
Agreements
...
Abb. 1 Quellen von Compliance-Vorgaben
Rechtsprechung
Verwaltungsvorschriften
Referenzierte Regelwerke
Verträge
Branchen-
standards
Verbands-
standards
Aktualität von Compliance
Bezüglich der aktuellen Relevanz der Compliance-Thematik ist auf zahlreiche
Beispiele der jüngsten Vergangenheit zu verweisen, in denen sich
Unter nehmen nicht an (vor allem gesetzliche) Vorgaben gehalten haben
und damit eben »nicht compliant« waren. Tabelle 1 nennt einige Fälle,
die in 2008 eine größere Publizität erlangt haben.
...

Institution Fall
IT-Compliance im Unternehmen 5
Lidl Überwachung der Mitarbeiter durch Detekteien per Video; Lidl
wird zu einer Gesamtstrafe in Höhe von 1,462 Mio. € verurteilt
Deutsche
Telekom
Ausspionieren von Journalisten, Telekom-Auf sichtsräten und
eigenen Mitarbeitern
KfW Überweisung von 300 Mio. € aus einem Ter min ge schäft an die
US-Investment bank Lehman Brothers, die am gleichen Tage
einen Insolvenz antrag stellte
Einwohnermeldeämter
T-Mobile
Deutschland
Daten von Bürgern aus rund 200 Städten und Gemein den waren
über Jahre hinweg frei im Internet zugänglich
Datendiebstahl von über 17 Mio. Mobil funk kunden (bereits 2006
erfolgt, aber erst 2008 bekanntgegeben)
Tab. 1 Compliance-relevante Vorfälle im Jahr 2008
In den ausgewählten Fällen spielt die Nutzung von Daten und Infor mations
tech nologie (IT) eine zentrale Rolle. Bei den beiden erstgenannten
Bei spielen ist mit dem vorsätzlichen Missbrauch personen bezogener Daten
ein Verstoß gegen gesetzliche Regelungen offen sichtlich. Im Fall der
Kredit anstalt für Wiederaufbau (KfW) führten un ge nügende Kontrollprozesse
zur Aus führung der Überweisung und dem damit verbundenen
Schaden. Hier ergeben sich zumindest Vorwürfe hinsicht lich einer mangelnden
Effektivität des operativen Ri si ko managements. In den bei den
letztgenannten Fällen mangelte es offenbar an effek tiven Maß nahmen
des Zu griffs schutzes und an entsprechenden Kon trollen, wie sie sowohl
von ge setzlichen Regelungen als auch von Nor men und Standards des
IT-Sicher heitsmanage ments gefordert werden.
Vor allem in den Fällen von Gesetzesverletzungen ist davon aus zu -
gehen, dass die betroffenen Unter nehmen neben Schadensersatzzahlungen
und ge setzlich vorgesehenen Stra fen in der Öffentlichkeit eine
Schädigung ihrer Repu tation, verbunden mit Ver trau ensverlust und Kundenbindung,
erlitten haben. Dies soll jedoch nicht heißen, dass die mangelnde
Befolgung der sons tigen Regelwerke von ge rin ge rer Bedeu tung
ist. Verträge sehen bei Ver letzung vertrag licher Vereinbarungen mitunter
empfindliche Strafzahlungen vor. Der Ver lust von Zerti fikaten als Folge

6
IT-Compliance im Unternehmen
mangelnder Kon for mität mit am Markt übli chen Standards kann Nachteile
bei der Auf trags gewinnung nach sich ziehen. Und die mangelnde Befolgung
unterneh mens interner Rege lun gen führt wie der um zum Verstoß
gegen externe Vor gaben, aber auch zu in ter nen In effi zienzen, Kontrollverlust
und opera tio nellen Risi ken.
Diese Beispiele zeigen, dass die im Unternehmen eingesetzte Infor mations
tech nik eine wesentliche Rolle in der Compliance-Thematik spielt.
Glei ches gilt für die IT-Abteilung, die den Einsatz der Informations technik
zur Unterstützung der Unter nehmens prozesse verantwortet. Damit
steht »IT-Com pliance« als Teil bereich des IT-Managements zur Debatte.
Wie prägt sich dieser Teilbereich der Compliance aus?
IT-Compliance
Als Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet
IT-Com pliance einen Zustand, in dem alle für die IT des Unternehmens
rele van ten Vorgaben nachweislich eingehalten werden. Hierbei ist es unerheblich,
ob die IT-Leistungen ausschließlich unternehmensintern oder
(teilweise) durch externe IT-Dienstleister (im Rahmen von Entwicklungs-,
Hosting-, Out sourcing -Verträgen o.Ä.) erbracht werden.
Eine weitere Sichtweise ver steht IT-Compliance als Einsatz von Soft-
und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken
sichergestellt werden kann. In diesem Sinne handelt es sich um
»IT-ge stützte Corporate Compliance« [Teub ner & Feller 2008, S. 401].
Diese Interpretation wird vor allem von Herstellern ver treten, die Lösungen
für Secu ri ty- oder Con tent-Management, Archivie rung, Verschlüsselung,
Nutzer-, Zu gangs- und Lizenz verwaltung u.a.m. an bie ten. Aber
auch auf Unter neh mens seite wird dieser Sicht gerne ge folgt, belegt doch
der Einsatz derartiger Systeme das Bemühen um Com pliance. Dass diese
Perspektive ihre Berechtigung hat, soll nicht im Geringsten be zweifelt
werden. Im Gegenteil: Ohne die ge nannten Lösungen sind die zahlreichen
Compliance-Anforderungen nicht in den Griff zu be kommen. Aus diesem
Grunde ist es sinn voll, sich die grund legenden Unter schiede zwischen den
beiden Inter pre ta tions mög lich keiten zu verdeutlichen (s. Abb. 2).

Abb. 2 IT-Compliance vs. IT-gestützte Compliance
IT-Compliance im Unternehmen 7
IT-Compliance IT-gestützte Compliance
Träger von
Compliance-Anforderungen
Die IT ist ...
Mittel zur Erfüllung von
Compliance-Anforderungen
»Compliance von IT« »Compliance mit IT«
IT-Com pliance betrachtet die IT als Träger von Compliance-Anfor derun
gen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen
(nach [Klotz & Dorn 2008, S. 9 f.]):
■ Welche Rechtsnormen und ggf. sonstigen Regelwerke sind für die
IT des Unternehmens relevant?
■ Welche IT-gestützten Prozesse und Anwendungen sind betroffen
und welche Anforderungen sind von ihnen zu erfüllen?
■ Welche Risiken resultieren in welcher Höhe aus fehlender oder
mangel hafter Compliance der IT?
■ Welche Compliance-Anforderungen haben die einzelnen Bereiche der
IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?
■ Welche technischen, organisatorischen und personellen Maßnahmen
sind für die Gewährleistung von IT-Compliance zu ergreifen?
IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von
Com pliance genutzt wird. Bei dieser Sichtweise stellen sich beispielsweise
folgende Fragen:
■ Welche Compliance-Anforderungen haben die Geschäftsprozesse
zu er füllen?
■ Welche Compliance-Anforderungen kann eine spezifische Hard-
oder Software adressieren?
■ Welche Hard- oder Softwarelösung ist für die Erfüllung der
Compliance-Anfor de run gen am besten geeignet?
■ Wie sind die verfügbaren Compliance-Tools aufeinander abzustimmen?
Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und
inso fern beide notwendig sind, um Compliance im Allgemeinen und

8
IT-Compliance im Unternehmen
IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch)
IT-gestützte Com pliance vor. Eine auf diesem Wege geschaffene Automatisierung
von Com pliance ist die einzige Mög lichkeit, die Vielzahl heutiger
Compliance-Anfor de rungen zu erfüllen. Dies gilt insbesondere für die
kontinuierliche Über wachung des IT-Betriebs auf Compliance-Verstöße.
Beispiel 2:
Das Bundesdatenschutzgesetz (BDSG) richtet spe zifische An for de run gen an die
Haltung personen be zo ge ner Daten. Zum Schutz dieser Daten sind nach § 9 BDSG
und der zu ge hörigen An lage 1 zahlreiche Kontrollen zu imple men tieren (z.B. Zutritts-,
Zu griffs- oder Verfüg barkeits kon trollen). Um diese Vor gabe zu er füllen,
sind zuerst or ganisa to rische und per so nelle Maß nah men zu er greifen, z.B. die
Durchführung von Risiko- und Schutz be darfs analy sen, die Fest legung von Zugriffsbe
rech ti gun gen, die Planung und Durch führung von Schu lungsmaßnahmen, die
Regelung von Zu tritts- und Zu gang srechten, das Er las sen von Vorschriften für die
Ver ar bei tung von per so nenbezogenen Da ten und die Ver pflich tung der Mit arbeiter
auf diese Vor schriften. Zu einem Großteil führen die se Maß nah men letztlich
zu tech ni schen Lö sun gen, z.B. einer auto ma ti sier ten, funk tions basier ten Zu griffssteu
e rung, ei ner system ge steuerten Passwort ver ga be oder einer auto ma tischen
Daten si che rung (nach [Neundorf 2007, S. 609 ff.]).
Bezug zu Governance und Risikomanagement
Vor dem Hintergrund spektakulärer Betrugsfälle und Bilanz manipu lationen
(beispielsweise Worldcom und Enron in den USA, Flowtex und
Balsam in Deutschland) steht der Begriff »Corporate Governance« seit
nunmehr ca. 15 Jahren für die Diskussion um eine ord nungsgemäße Unternehmensführung.
Von zen tra ler Bedeutung für die betriebliche Überwachung
und Kontrolle ist das 1998 in Kraft getrete ne »Gesetz zur Kontrolle
und Transparenz im Unter nehmensbereich« (KonTraG). Dieses hatte u.a.
die Regelung des § 91 Abs. 2 AktG zur Folge, wonach der Vorstand verpflichtet
ist, »geeignete Maß nah men zu treffen, insbesondere ein Überwachungssystem
einzurichten, damit den Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden«. Ähnlich werden häufig
die aus der Section 404 des im Juli 2002 in den USA in Kraft gesetzten
»Sarbanes-Ox ley Act« (SOX) resul tierenden Ver pflichtungen zur Einrichtung
eines internen Kontroll systems (IKS) ange führt. In Deutsch land sind
aller dings nur die jenigen (weni gen) Unter neh men von SOX be trof fen, die

IT-Compliance im Unternehmen 9
selbst oder in di rekt als Toch ter ge sellschaft aus län di scher Unter neh men
an US-ame ri ka ni schen Börsen ge listet sind. Ähnliche Pflichten hinsichtlich
der Gestaltung interner Kontroll- und Risiko manage mentsysteme
ergeben sich künftig für einen erweiterten Unter neh mens kreis aus dem
Bilanz rechts moderni sie rungsgesetz (BilMoG).
KonTraG, SOX, BilMoG und weitere Gesetze, aber vor allem auch
bran chen spezifische Vorgaben führen in den betroffenen Unternehmen
zur Ein richtung von Risikomanagementsystemen, mit deren Hilfe Risiken
effektiv und effizient identifiziert, bewertet und gesteuert werden sollen.
In diesem Zu sammenhang sind potenzielle Regelverstöße, insbesondere
Gesetzes ver stöße durch Mit arbeiter oder Organe, als Betriebs risi ken
des Unternehmens an zusehen.
Governance, Risikomanagement und Compliance verweisen somit
auf ein an der. Aufgrund der inhaltlichen Zusammenhänge wird neuerdings
von der Trias »Governance-Risk-Com pli ance« (GRC) ge sprochen,
die eine inte grier te Strategie und ein ge mein sa mes Management erfordert.
Dieser allge meine GRC-Zusammenhang ergibt sich nun auch für
die IT. Ein IT-Risiko management richtet sich speziell auf die IT-Risiken
des Unter neh mens. Als Schnittmenge von IT-Risiken einerseits und von
mit Regel ver stößen ver bundenen Risiken, d.h. Compliance-Risiken, andererseits
ergeben sich die IT-Compliance-Risiken (s. Abb. 3).
Risiken aus
Regelverstößen
Risiken
IT-Compliance-
Risiken
Abb. 3 IT-Compliance-Risiken als Schnittmenge
IT-Risiken
In einer derartigen risiko orientierten Sichtweise adressiert IT-Compliance
IT-Risi ken, die da durch entstehen, dass die IT nicht wie geplant
funk tioniert, schlecht orga ni siert ist, nicht wie erfor der lich betrieben und
genutzt wird, un zu reichend ver fügbar oder ungenügend ge sichert ist,
manipuliert oder miss braucht werden kann usw., sodass hier durch vor
allem gesetzliche Vorgaben (potenziell) nicht oder nur mangelhaft erfüllt
werden.

10 IT-Compliance im Unternehmen
Regelwerke der Corporate Gover nance können heute häufig nur noch
erfüllt werden, wenn ent spre chen de IT-Maß nahmen ergriffen werden. Vor
allem hinsichtlich der Finanz bericht erstattung muss die Ordnungsmäßigkeit
sowohl der Entwicklung als auch des Betriebs von IT-Anwendungen
nach gewiesen werden können (nach [Johannsen & Goeken 2007, S. 15]).
Cor po rate Go ver nance zieht somit eine spezialisierte IT-Governance nach
sich. Diese rich tet sich auf die Regelung von Verantwortlichkeiten und
Ent schei dungs rechten sowie entsprechende Prozesse und Verfahren mit
dem Ziel, aus der IT-Nutzung einen maximalen Wertbeitrag für das Unternehmen
zu ziehen (vgl. z.B. [Weill & Woodham 2002, S. 1], [Meyer
et al. 2003, S. 445]). Hier zu gehört auch die Ein richtung eines IT-Kontrollsystems
(als Bestandteil des IKS), mit dem die Steuerung und Überwachung
der IT im Unternehmen sicher gestellt werden soll. Für die Ausgestaltung
des IT-Kon trollsystems liegen wiederum einschlägige Standards
vor, die insofern Gegen stand der IT-Compliance sind, z.B. Standards und
Stellungnahmen des Instituts der Wirt schafts prüfer (IDW).
Beispiel 3:
Die AXA Konzern AG unterliegt als Toch ter gesellschaft der an der New York
Stock Exchange (NYSE) no tier ten Pariser Muttergesellschaft den Rege lun gen
des »Sarbanes-Ox ley Act«. IT-Risiken wurden im Rah men eines Projektes zur
Einführung eines IKS für die Cash- und Jahres ab schluss prozesse bei der Datenaufbereitung
und -hal tung so wie der manu ellen Eingabe und Wei ter lei tung
von Daten gesehen. Hin sicht lich der SOX-An forderungen wurde die He te ro ge nität
der System landschaft ins gesamt als problematisch be urteilt. Com pliance-Ri siken
er gaben sich auf grund der zahl rei chen Schnittstellen bei der Pflege und der
Daten über tragung zwi schen den ver schie denen An wen dungs sys temen, da hierdurch
die Zuver lässig keit der Kon trol len des IKS nicht beurteilt wer den konnte
(nach [Michels & Krzeminska 2006, S. 141ff.]).
Im Ergebnis erfährt die GRC-Trias eine Spezialisierung im IT-Bereich,
was zu vielfältigen Koordinationsnotwendigkeiten führt. So muss sich
jede Spezialisierung in den jeweiligen generellen Bereich eingliedern, also
z.B. die IT-Compliance in die gene rel len Compliance-Aktivitäten des
Unter nehmens, aber auch mit den anderen Spezialisierungen abgestimmt
werden, beispielsweise IT-Compliance mit IT-Governance und IT-Risikomanage
ment (vgl. Abb. 4).

IT-
Governance
IT-
Compliance
IT-Risiko-
manage-
ment
Abb. 4 Bezüge der IT-Compliance
IT-Compliance im Unternehmen 11
Governance
GRC
Compliance
Risk-
management
IT-G IT-RM
Organisatorischer Geltungsbereich
Der organisatorische Geltungsbereich von IT-Com pliance hängt davon
ab, welche Aufgaben die IT als Unter nehmensfunktion konkret übernimmt.
Die von der IT zu beachtenden Regelwerke differieren nämlich,
je nachdem, ob die IT des Unternehmens nur mit abgegrenzten speziellen
Aufgaben, z.B. der Buchführung, befasst ist oder die gesamte Geschäftstätigkeit
des Unter neh mens umfassend unterstützt. Im Kern wird sich der
organi sa to rische Gel tungs bereich auf folgende Gebiete er strecken:
■ Rechnungswesen (intern/extern)
■ Steuern
■ Personalwesen
■ Vertrieb und Kundenbetreuung
■ Internetpräsenz und elektronische Kommunikation
■ Archivierung und Dokumentenmanagement
■ IT-Beschaffung sowie Betreuung von Software und Hardware
■ Datenschutz
Dieser Umfang zeigt deutlich, dass nicht nur Großunternehmen, sondern
auch mittelständische und sogar kleine Unternehmen von IT-Com pliance
betroffen sind. Drei der oben genannten Bereiche sollen dies verdeutlichen.
IT-C

12 IT-Compliance im Unternehmen
Beispiel 4:
Steuern: Nach § 147 Abs. 6 AO muss ein Unternehmen bei der IT-ge stützten Erstellung
steuerlich relevanter Aufzeichnungen nicht nur die »Ein sicht« in diese
Daten ermöglichen, sondern nach Vorgabe des Be triebs prüfers auch die Da ten
entweder selbst auswerten oder den Finanz be hör den auf einem Daten träger zur
Verfügung stellen. Folglich muss die IT dem Be triebs prüfer bei einer Außen prüfung
einen sinn vollerweise auf die relevanten Daten einge schränk ten Zugang
zur Ver fügung stellen bzw. eine Kon ver tierung der Daten in ein für das Finanzamt
lesbares Format vornehmen und diese Daten zwecks Übergabe auf einen Datenträger
übertragen.
Elektronische Kommunikation: Kaum ein Unter neh men verzichtet heu te auf die
Nutzung von E-Mails. Die geschäftliche E-Mail-Kommunika tion ist jedoch Compliance-relevant,
da im Rahmen der Impressumspflicht Angaben zur Fir mie rung,
Rechts form und Ver tretung erforderlich sind (z.B. nach § 37 a HGB).
Archivierung und Dokumentenmanagement: Un ternehmen sind zur Aufbewahrung
und Wiedergabe er hal te ner und ver sendeter Handelsbriefe (nach
§ 257 Abs. 2 HGB alle Schrift stücke, die ein Handelsgeschäft be treffen) verpflichtet.
Die Aufbe wah rung kann auf Daten trägern erfol gen, die verfügbar und jeder zeit
lesbar sein müssen (§§ 238 Abs. 2, 257 HGB). Wird die Geschäfts korres pondenz auf
Daten trägern archiviert, muss die IT deren geordnete Ablage und Auffindbarkeit
eben so wie die Les bar keit auch in Zu kunft und auch im Falle von Softwarewechseln
sicher stellen.

Beteiligte und Interessenlagen
Beteiligte und Interessenlagen 13
Der Kreis der grundsätzlich an der Herstellung von IT-Compliance betei
ligten Personen und Gruppen erweist sich als durchaus umfangreich.
Auch wenn in der fachlichen Diskussion oftmals ein »Compliance Officer«
im Mittelpunkt steht, hat die aufbauorganisa to rische Gestaltung
alle Be tei ligten einzubeziehen (s. Abb. 5) und ihre Auf gaben- und Verantwor
tungs teilung in Bezug auf IT-Compliance zu regeln.
Die Hauptverantwortung für IT-Compliance kommt der Unternehmens
lei tung zu. Dies ergibt sich aus expliziten ge setz lichen Vor gaben
sowie gene rel len Sorgfalts pflich ten der Unternehmens organe (zwecks
Ver mei dung eines Orga nisa tions verschuldens).
IT-Abteilung
IT-
Sicherheitsmanagement
IT-Vertragsmanagement
Fachabteilungen
Controlling Einkauf
Rechtsabteilung
Unternehmensleitung
Geschäftsprozessmanagement
Abb. 5 An IT-Compliance beteiligte Gruppen und Funktionen
Datenschutzbeauftragter
IT-Risikomanagement
ext.
Wirtschaftsprüfer
IT-Revision
Vor allem das KonTraG hat mit der persön li chen Inanspruchnahme von
Vorstandsmitgliedern dafür ge sorgt, dass Com pliance heute die Aufmerk
sam keit der Unternehmensleitung er langt. So drohen bei Ver stößen
gegen Com pliance-Anforderungen die Ver wei gerung der Ent lastung
(s. Bei spiel 1), eine Ab be ru fung, eine außerordentliche frist lose Kündigung
oder gar eine per sön liche Haftung.
Die Unternehmensleitung muss zur Wahrnehmung ihrer Compliance-
Verant wortung konzeptionelle und operative Aufgaben und die hierfür
er for der lichen Befugnisse delegieren. Der Kreis der hierfür zur Ver fügung
stehen den Funktionsträger hängt von der Unternehmensgröße, der Gesellschafts
form und der Branchenzugehörigkeit ab. In jedem Falle sind aber die
IT-Abteilung und die Fachabteilungen als Hauptbeteiligte ein zu be ziehen.

14 Beteiligte und Interessenlagen
■ Die IT-Abteilung und ihre Leitung bzw. der Chief Information
Officer (CIO) haben den Großteil an Maßnahmen zur Erfüllung
der Compliance-An for de rungen zu planen und durchzu führen,
zumindest soweit es die informations- und kommunikationstechnischen
Mittel anbelangt. Hierbei sind die Entwicklung und
der Betrieb von IT-Systemen selbst an Stan dards (wie der Information
Technology Infra struc ture Li bra ry – ITIL) aus zurichten,
oder die Anforderun gen aus Gesetzen (wie beispielsweise dem
BDSG) sind direkt umzusetzen. Hierzu müssen IT-Kontrollen einge
führt wer den, entweder als prozessintegrierte Kon trollen einzelner
IT-An wendun gen (z.B. Eingabeprüfungen) oder als generelle
IT-Kon trol len, die auf die ge samte IT wirken. Beispiele für
generelle IT-Kon trollen sind Benutzer berech ti gungskonzepte,
Zugriffs schutzverfahren und Change-Manage ment-Ver fahren.
■ Auch die Fachabteilungen tragen eine Verantwortung für die Erfüllung
von Compliance-Anforderungen – und zwar immer dann,
wenn organi sa to rische oder personelle Maßnahmen ergriffen
und ent sprechende Kon trollen eingeführt werden. Vor allem die
»Aware ness« für IT-Com pli ance, insbesondere für Datenschutz
und Daten sicher heit, muss bei den IT-Nutzern in den Fachabteilungen
entwickelt werden.
In größeren Unternehmen ist weiterhin eine ganze Reihe von Stellen und
Funktionen potenziell mit IT-Compliance befasst.
■ Die unternehmensinterne Rechtsabteilung stellt in der Regel im
Auftrage der Unternehmensleitung die Einhaltung von rechtlichen
Vorgaben im Unter nehmen sicher. Die juristische Beurteilung
gesetzlicher und ver trag li cher Anfor derungen an die IT ist
eine Kernkompetenz der Rechts ab tei lung, der so mit eine wich tige
Verantwortung auch für die IT-Compliance zu kommt.
■ Eine weitere Schnitt stelle ergibt sich zum Geschäftsprozessmanagement
hinsichtlich der Compliance von Geschäftsprozessen.
Soweit Stel len mit spezialisierter Prozessverantwortung ein gerichtet
sind (sog. pro cess owner), ist zu prüfen, ob und ggf. in wieweit
ihr Ver ant wor tungsbereich um Aspekte der IT-Compliance
zu er wei tern ist.

Beteiligte und Interessenlagen 15
■ Der oben beschriebene inhaltliche Zusammenhang zwischen
IT-Risiko management und IT-Compliance erfordert auch auf institutioneller
Ebene eine Zusammenarbeit zwischen den entsprechenden
organisatorischen Ein hei ten. Soweit sich das Risikomanagement
auf existenzgefährdende Unter nehmensrisiken konzentriert,
werden in Bezug auf die IT die Be rei che des Notfalls- und
Kontinuitätsmanagements im Vordergrund stehen. Ein weiterer
Bereich der Zusammenarbeit kann das Management von IT-Projektrisiken
sein, wenn für die Unternehmensentwicklung we sentliche
IT-Entwicklungen be troffen sind.
■ Ähnliches gilt für das IT-Sicherheitsmanagement. Zahlreiche Regelwerke
(bspw. BDSG, ISO 27001, ITIL) stellen Anforderungen
an die Sicherheit der IT-Systeme bzw. ihre Komponenten (z.B.
IT-Infrastruktur, IT-An wen dungen, Daten, IT-Prozesse). Viele
IT-Sicher heits lösun gen können dazu beitragen, Anforderungen
der IT-Compliance zu erfüllen (wie Bei spiel 2 für das BDSG zeigt).
■ Mit dem Vertragsmanagement sind in manchen Unter nehmen
anstelle der Rechtsabteilung die Einkaufs abteilung oder das Controlling
befasst, so dass diese Stellen mitunter auch Überwachungs-
und Steu e rungs auf gaben bei der Durchführung von IT-Verträgen
wahrnehmen. Falls ver trag lich geregelte Leis tun gen im Rahmen
von IT-Projekten erbracht werden, kann das Ver trags controlling
auch Aufgabe des IT-Projekt manage ments sein.
■ Mit dem durch das Bundesdatenschutzgesetz in § 4f BDSG vorge
schrie benen Datenschutzbeauftragten gibt es zudem eine Stelle
im Unter nehmen, die bezogen auf das Gebiet des Daten schutzes
bereits eine Com pliance-Funktion wahrnimmt.
■ Wenn Buchführung und Finanz transaktionen des Unternehmens
IT-ge stützt erfolgen, ist die Ord nungs mäßigkeit der IT Gegenstand
sowohl der externen Jahresabschlussprüfung als auch der internen
Revision. Hier zu haben beide Prüfungsinstanzen unter anderem
die Ange messen heit und Wirksamkeit des IT-Kontrollsystems
zu be urteilen, indem sie die Durch führung verschiedener IT-Kontrollen
prüfen. Hierbei orientieren sie sich an ent sprechenden
Standards und Normen zum Prüf wesen, zur IT-Sicher heit und
zum IT-Risiko management.

16 Beteiligte und Interessenlagen
Neben den hier aufgeführten gibt es weitere Stellen und Funktionen, die
sich nach Branchenerfordernissen richten. Auch hier gibt es häufig Bezüge
zur IT-Compliance, sodass diese Stellen ebenfalls zu beteiligen sind.
Beispiel 5:
Das Wertpapierhandelsgesetz (WpHG) schreibt für Wertpapierdienst leis tungs unternehmen
(dies sind u.a. Kredit- und Finanzdienstleistungsinstitute) in § 33 Abs. 1 WpHG
die Ein richtung einer Compliance-Funktion vor. Diese hat darauf hinzuwirken, dass die
Verpflichtungen des WpHG vom Unternehmen und seinen Mit ar beitern eingehalten
werden. Hierzu hat sie u.a. eine Über wachungsfunktion wahrzunehmen, Compliance-
Richtlinien zu entwickeln, die Compliance-Orga nisation weiterzuentwickeln und der
Ge schäftsleitung Bericht zu er statten (nach [IIR 2003, S. 96]).
Das Interesse der Stelleninhaber und Funktionsträger an IT-Compliance
wird sich nach dem Inhalt und dem Umfang der an sie delegierten Ver antwortung
richten. In jedem Falle steht eine persönliche Haftung infrage,
nicht nur für die Unternehmensleitung. Bei einer nicht regelkonformen
Auf gaben aus füh rung können prinzipiell auch Mitarbeiter zur Ver antwortung
gezogen und haft bar gemacht werden. Für ausführende Mitarbeiter
ergibt sich dies aus den Regelungen zur Arbeitnehmerhaftung
(vgl. [Bitkom 2005, S. 6]).
In vielen Unternehmen stellt sich derzeit die Herausforderung, überhaupt
erst einmal eine allgemeine Compliance-Funktion einzurichten,
in die es wie de rum die Verantwortung für IT-Compliance zu integrieren
gilt. In dieser Konstellation bietet sich für die Beteiligten die Chance, den
eigenen Auf ga ben- und Verant wortungsbereich zu erweitern. Mitunter
kön nen sich so auch neue Karriere pfade eröffnen. Auf der anderen Seite
droht neue Konkurrenz um Ressourcen und Einfluss. Diese Un sicherheiten
gilt es bei der insti tu tio nellen Verankerung von (IT-)Com pliance
im Unternehmen durch eine klare Aufgaben- und Verantwortungs teilung
zu beseitigen. Diese Klärung zu ini tiie ren und durchzusetzen, bildet die
zentrale Verantwortung der Unter neh mens leitung.

Nutzen von IT-Compliance
Nutzen von IT-Compliance 17
Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vorschrif
ten soll IT-Compliance ein Unternehmen vor allem vor wirtschaftlichen
Nach teilen als Folge von Rechts ver letzungen bewahren. Es sollen
insbeson dere Schadens er satz pflichten, Stra fen, Buß- und Zwangsgelder,
aber auch erhöhte Steu er zahlungen aufgrund von Schätzungen des Finanzamts
ver mie den werden. So kann beispielsweise ein Schaden entstehen,
wenn ein Unter nehmen im Rahmen einer ge richt lichen Auseinandersetzung
beweis erheb liche Daten und Dokumente nicht vorlegen und
damit seiner Beweispflicht nicht nach kommen kann (vgl. [Bücking 2007,
S. 17]). Wird im Zu sam men hang mit steuerrelevanten Unter lagen gegen
Archi vie rungs pflichten ver stoßen, drohen Straf zahlungen wegen Steuerver
kür zung. Zusätzlich zu diesen mone tären Schäden ist ein poten ziel ler
Image schaden von Bedeutung. Dieser kann sich leicht ein stellen, wenn
etwa gegen Daten schutz normen verstoßen wird oder Kunden daten missbraucht
werden. Folgen können eine nega tive Publizität, Nach teile bei
der Vergabe öffentlicher Aufträge oder gar Kun den ab wan derungen sein.
Neben dieser Schutzfunktion, die auf die Vermeidung von Nachteilen
zielt, ist IT-Compliance mit folgenden Vorteilen verbunden (s. Ab b. 6,
vgl. [Böhm 2008, S. 26 f.]).
Erhöhung
der IT-Qualität
Vermeidung
von Nachteilen
Senkung
der IT-Kosten
Abb. 6 Nutzen von IT-Compliance
Nutzen von
IT-Compliance
Erhöhung des
Wertbeitrags der IT
Reduzierung
von IT-Risiken
Erhöhung
der IT-Sicherheit

18 Nutzen von IT-Compliance
■ Wertbeitrag
Wenn die IT eines Unternehmens ihre Compliance nach wei sen
kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des
Unter nehmens wertes. Erweisen sich bestimmte Standards (z.B.
Sicherheits zerti fika te) als Markteintrittsbarrieren, ist der Wertbeitrag
offensichtlich. Ohne die Konformität zu derartigen externen
Vorgaben könnten Umsatz chan cen nicht genutzt werden.
Andererseits kann mangelnde IT-Com pliance zu Abschlägen bei
der Bestimmung des Unternehmenswertes im Falle von Unternehmenstransaktionen
führen, wenn sich während einer Due-Dilligence-Prüfung
IT-Compliance-Risiken offenbaren.
■ IT-Qualität
Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu
einer höheren Qualität von IT-Prozessen bei. Dies ist ins besondere
dann der Fall, wenn Compliance-Anforderungen und Kon trollen
als Elemente des IKS systematisch auf einander abgestimmt werden.
Hieraus resultiert eine höhere Transparenz, die die ge samte
IT-Architektur umfasst und letztlich ein effektives Enterprise Architecture
Management (EAM) unter stützt. Eine in diesem Sinne
verbesserte Qualität führt zu einer Reduzierung der Kom plexität
der IT-Infrastruktur und damit zu einer verbesserten Steuerungsfähigkeit,
aber auch Auditierbarkeit der IT.
■ IT-Sicherheit und IT-Risiken
Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des
IT-Be triebs sicherstellen, adressieren zu einem hohen Anteil die
IT-Sicher heitsziele der Vertraulichkeit, Verfügbarkeit und Integrität.
Hieraus resul tieren Synergiepotenziale, die bei einer abgestimmten
Vorgehens weise realisiert werden können. Auf diese
Weise entfaltet IT-Compliance zu sätz liche Nutzenpotenziale für
die IT-Sicher heit. Glei ches gilt für das IT-Risikomanagement.
Auch dieses wird durch oftmals gleich gerichtete Maß nahmen der
IT-Compliance ver stärkt.
■ IT-Kosten
Die verschiedenen Maßnahmen der IT-Compliance verursachen
selbst ver ständlich Kosten. Da die Maßnahmen aber auch
aus Gründen der Ri si ko reduzierung und der Erhöhung der
IT-Sicherheit erfolgen, lassen sich die damit verbundenen Kosten

Nutzen von IT-Compliance 19
oft nicht eindeutig der IT-Compliance zu rech nen. Dies gilt natürlich
auch umgekehrt für die Kosteneinsparungen, die sich
u.a. aus der Automatisierung manueller Arbeitsabläufe (bspw.
bei der Überwachung oder im Reporting), geringeren Kosten in
der IT-Ad ministration und -War tung oder bei der Durchführung
von Prüfungs handlungen ergeben. Der ROI von Maßnahmen
der IT-Compliance kann – wenn überhaupt – somit nur in einem
größeren Zusammenhang er mittelt wer den. Trotzdem gilt, dass
IT-Compliance zwar Investitionen er fordert, aber auch zur Reduzierung
von IT-Kosten beiträgt.

20 IT-relevante Regelwerke
IT-relevante Regelwerke
Klassifikation der Regelwerke
Es lassen sich grundsätzlich vier Gruppen von Regelwerken unterscheiden,
die in ihrer Summe ein Grundgerüst für eine systematische Analyse
von Com pliance-Anforderungen darstellen:
■ rechtliche Vorgaben, d.h. Rechtsnormen (also vom Gesetzgeber er lassene
Gesetze sowie auf deren Grund lage von den Verwaltungen er lasse ne
Rechtsverordnungen), Rechtsprechung sowie Ver waltungsvorschriften
und weitere Regel werke, auf die in Gesetzen, Rechtsverordnungen und
Verwal tungs vor schriften verwiesen wird oder die von der Recht sprechung
zur Auslegung herangezogen werden;
■ Verträge, die ein Unternehmen mit Kunden, Lieferanten und sonstigen
Marktpartnern abschließt und die IT-relevante Vereinbarungen
enthalten;
■ unternehmensexterne, auf IT-bezogene Regelwerke, wie Normen,
Standards, Zertifikate oder Richtlinien vielfältiger Institutionen;
■ unternehmensinterne Regelwerke, wie Un ternehmensrichtlinien,
Orga ni sations- oder Ver fahrens an wei sungen, Service Level Agreements
(SLAs) oder Hausstandards, soweit sie IT-rele vante Vorgaben
enthalten.
Mit der Überlegung, dass sowohl der Bindungsgrad als auch das Risiko
bei einem Verstoß in der genannten Reihenfolge tendenziell abnehmen,
ergibt sich das in Abbildung 7 dargestellte »Zwiebelmodell«.
Bei Rechtsnormen und Verträgen ergeben sich höhere Risiken, weil
hier oft ein mo ne täres Straf maß entweder gesetzlich oder ver trag lich
geregelt ist bzw. aus Vertragsver letzun gen teilweise bestands gefähr dende
Schadens er satz pflichten resultieren kön nen. Außerdem kommen in
diesen Fällen häufig Vertrauensverlust und Image schäden hinzu, die das
Schadensausmaß zu sätzlich erhöhen. Durch straf ver folgende Institutionen
bzw. Vertrags part ner, die ihre Interessen wah ren wollen, ergibt sich
auch eher die Wahr schein lich keit, dass ein Ver stoß re kla miert und ein
Anspruch verfolgt und durchgesetzt wird.
Bei den externen Regelwerken ist zu beachten, dass diese ggf. aufgrund
Verweis oder Heran ziehung zur Auslegung der Rechtsnormen

IT-relevante Regelwerke 21
letztlich deren Bindungs wirkung und das daraus resultierende Risiko teilen.
Die Regelwerke dieser Gruppe erlangen somit dann eine höhere Bindungswirkung,
wenn ihre Einhaltung von Dritten (z.B. Wirtschaftsprüfern,
Kunden) eingefordert wird.
n Risiko h
Abb. 7 Zwiebelmodell für Compliance-relevante Regelwerke
Rechtliche Vorgaben
interne Regelwerke
externe Regelwerke
Verträge
Rechtsnormen
Bindung n
h = hoch
n = niedrig
Gesetze und Rechtsverordnungen
Im Zentrum der rechtlichen Vorgaben stehen Rechtsnormen, also Gesetze
und Rechtsverordnungen. Die Notwendigkeit zur Einhaltung der IT-Compliance
ergibt sich nicht nur aus Gesetzen, die sich schon vom Namen her
offen sichtlich auf die IT beziehen, wie beispielsweise das Bundesdatenschutz
gesetz, das Signaturgesetz (SigG) oder das Telemediengesetz (TMG).
Vielmehr regeln zahlreiche weitere Ge setze den IT-Einsatz im Unternehmen,
z.B. das Betriebsverfassungsgesetz (BetrVG), das Strafgesetzbuch
(StGB) sowie hinsichtlich der Buchführungs- und steuerlichen Pflichten das
Handels gesetzbuch (HGB) und die Abgabenordnung (AO) nebst Teilen der
einzelnen Steuergesetze. Vertragliche Anforderungen sind insbesondere im
Bürger lichen Gesetzbuch (BGB) geregelt. Weiterhin zählen zu dieser Gruppe
die Rechtsentwicklungen, die sich auf EU-Ebene vollziehen (z.B. BASEL II
oder die 8. EU-Richtlinie, auch kurz »Euro-SOX« genannt).
Rechtsprechung
Zu den rechtlichen Vorgaben zählt weiterhin die Rechtsprechung, die die
Rechts normen auslegt und damit wesentlich deren Inhalt bestimmt. Dies
be trifft in besonderem Maße sogenannte unbestimmte Rechtsbegriffe
h

22 IT-relevante Regelwerke
bzw. Gene ral klauseln. Beispiele hierfür sind die »übliche Beschaffenheit«,
die das Vor liegen eines Mangels im Werkvertragsrecht bestimmt, oder
die »im Verkehr erforderliche Sorgfalt«, deren Missachtung den Vorwurf
fahrlässigen Ver haltens begründet.
Beispiel 6:
Das Oberlandesgericht Hamm hat eine unterlassene Datensicherung bei Schäden,
die durch Datenverluste infolge von Programmfehlern entstehen, als Mit verschulden
gewertet. In dem entschiedenen Fall hatte dies zur Folge, dass die
Geltendmachung von Schadens ersatzansprüchen verhindert wurde (nach [OLG
Hamm 2003]).
Verwaltungsvorschriften
Auch ohne dass es sich um Rechtsnormen im engeren Sinne handelt, sind
für IT-Compliance ferner Regelwerke relevant, die von den zuständigen
(Auf sichts-)Behörden zur Interpretation und Ausführung der Rechtsnormen
auf ge stellt oder erklärtermaßen herangezogen werden. Diese Regelwerke
be wir ken rechtlich eine Selbstbindung der Ver waltung, in dem sie
die Anwen dung der Rechtsnormen durch die Verwaltung be stim men.
Beispiel 7:
Sowohl die »Grundsätze ordnungsmäßiger DV-gestützter Buchführungs syste
me« (GoBS) als auch die »Grundsätze zum Datenzugriff und zur Prüf bar keit
digitaler Unterlagen« (GDPdU) wurden vom Bundesministerium für Finanzen
als Verwaltungsanweisung erlassen. Sie interpretieren die Rege lungen der
Abgabenordnung zu den Anfor derun gen an die ordnungsgemäße Buchführung
beim Einsatz IT-gestützter Buch haltungssysteme und bei Verwendung digitaler
Unterlagen.
In Bezug genommene Regelwerke
Regelwerke, die als solche keinen Rechtsnormcharakter haben und sowohl
von Verwaltungen wie auch von privatrechtlichen Institutionen
(z.B. dem DIN Deutsches Institut für Normung) stammen können, haben
für die IT-Compliance die gleiche Bedeutung wie Rechtsnormen, wenn sie
durch aus drückliche Verweisung in diese einbezogen werden.

Beispiel 8:
IT-relevante Regelwerke 23
Die der MaRisk (Mindestanforderungen an das Risikomanagement) zuge hörige
Erläuterung verweist auf die vom Bundesamt für Sicherheit in der Informationstechnik
(BSI) herausgegebenen IT-Grundschutzkataloge (vgl. [BaFin 2006, S. 15]). Dies
hat zur Folge, dass Kredit institute, um keinen Be an standungen der BaFin (Bundesan
stalt für Finanzdienstleistungsaufsicht) aus gesetzt zu sein, ein Sicherheits niveau
entsprechend den IT-Grund schutz katalogen realisieren müssen.
Verträge
Vertragsverstöße stellen für ein Unternehmen operationelle Risiken dar,
die es mittels einer effektiven und effizienten Vertragssteuerung zu managen
gilt. Zwei Gruppen von Verträgen sind hier von Bedeutung:
■ Verträge allgemeiner Art, deren Vertragsgegenstand sich nicht
auf IT-Belange konzentriert, die aber einzelne IT-relevante Regelungen
ent hal ten (beispielsweise zum Austausch oder zur Aufbewahrung
von Infor ma tionen) oder die dem Vertragsdokument als
IT-Objekt einen schutz wür di gen Status zuerkennen (was gewöhnlich
durch eine Geheim haltungs ver ein barung geschieht);
■ spezifische IT-Verträge, deren Vertragsgegenstand sich auf
IT-Leistun gen bezieht und die dadurch direkt relevant sind für
IT-Compliance.
Während das Vertragscontrolling Leistungserbringer und -empfänger
kon ti nuier lich im Auge behalten muss, stehen aus Compliance-Sicht
nur die jeni gen vertraglichen Vereinbarungen im Fokus, aus denen sich
IT-spezifische Pflichten und Obliegenheiten des Unternehmens als Vertragspartner
ergeben. Diese beziehen sich z.B. auf die Einhaltung bestimmter
End- und Zwi schen termine (Meilensteine), die Erfüllung von
Mitwirkungs- und Dokumen ta tions pflichten sowie Geheimhaltungsabreden
(vgl. [Klotz & Dorn 2005, S. 101]). In Bezug auf das Risikomanagement
stehen solche Rege lungen im Vorder grund, aus denen sich Risiken
hin sicht lich potenzieller Fristsetzungen (Inver zug setzung), Schadensersatzansprüche
oder Vertragsstrafen ergeben.

24 IT-relevante Regelwerke
Unternehmensexterne Regel werke
In die Gruppe der unternehmensexternen Regelwerke fallen viele derjenigen
Regelwerke, die derzeit im IT-Management große Aufmerksamkeit
erfahren, vor allem die als »Framework«, »Referenzmodell« oder
»Best-Practise-Mo dell« gehandelten Standards, wie CMMI (Capability
Maturity Model Inte gra tion), ITIL und COBIT (Control Objectives
for Information and Related Tech no logy). Insgesamt sind die in dieser
Gruppe vertretenen Regel werke höchst unter schiedlich. Die Spannbreite
reicht von Richtlinien supra natio na ler Organisa tio nen, wie der OECD,
über nationale und inter nationale Normen (z.B. ISO 20000, ISO 2700x),
Standards inter nationaler und nationaler Ver bands orga ni sationen und
behördlicher Ein richtungen bis hin zu Empfeh lun gen oder Kon zepten,
die sich über die Zeit durch Infor mations- und Er fah rungs aus tausch in
der Fachwelt herausgebildet haben.
Aus Sicht der IT-Compliance sind in dieser Gruppe vor allem Regelwer
ke von hoher Relevanz, die als Basis für Testierungen oder Zertifi
zie run gen dienen. Hierzu zählen vor allem die bereits erwähnten
Prüfungsstandards der Wirt schafts prüfer (in Bezug auf die Abschlussprüfung
sind dies IDW PS 330 und IDW RS FAIT 1 bis 3).
Unternehmensinterne Regel werke
Bei unternehmensinternen Regelungen ist die Bindungswirkung auf dasjeni
ge Unternehmen beschränkt, das die jeweilige Regelung in Kraft setzt.
Bei spiele für unternehmensinterne Regelungen aus dem IT-Bereich sind
in terne IT-Richtlinien oder -Verfahrensvorgaben zur IT-Sicherheit (z.B.
IT-Sicher heitsvorschriften, E-Mail-Richtlinien, Regelungen zum Umgang
mit Pass wörtern etc.). Aber auch zwischen der IT-Abteilung und den
Fach ab tei lun gen vereinbarte Service Level Agreements zählen zu dieser
Gruppe.
Interne Regelwerke sind aus zweierlei Hinsicht Compliance-relevant.
Zum einen dienen sie in vielen Fällen dazu, die Beachtung der Anforde
run gen aller anderen Regelwerke sicherzustellen, indem sie konkrete
Hand lungs an weisungen für die Organisationsmitglieder vorgeben. Hierdurch
dokumen tieren sie zum anderen nach außen, dass externen Verpflichtungen,
ins be sondere rechtlichen Vorgaben, nachgekommen wird.

IT-relevante Regelwerke 25
Beispiel 9:
Die ITIL (Information Technology Infra struc ture Li bra ry) ist eine um fassen de, nicht
proprie täre, öffent lich publizierte Ver fahrens em pfehlung für die Pla nung, den
Betrieb, die Über wachung und Steuerung von IT-Services. Erar beitet wurde die
ITIL durch die Central Com puter and Tele commu ni cations Agency (CCTA), eine
IT-Dienst leistungs orga ni sation der bri ti schen Re gierung, in Zusam men arbeit mit
Experten, Be ratern und erfahrenen Be rufs praktikern. Den Kern bilden in der aktu
ellen dritten Version fünf Bücher. ITIL ver steht sich als Best-Practise-Sam m lung.
Eine Zer ti fizie rungsmöglich keit gibt es auf einer indivi du el len Ebene bzw. in sti tutionell
nach ISO 20000. Heute besteht die ITIL-»Be we gung« aus allen Ingredienzen
eines pro fessio nel len Manage mentkon zeptes: Trai nings angebote inkl. qualifizierter
Zer tifi kats ab schlüsse, Beratung und unabhängiger Er fah rungs austausch
in ner halb spe zieller Organisa tio nen, Um setzungs hilfen und Softwaretools.
Bei COBIT (Control Objectives for Information and Related Tech no logy)
handelt es sich um ein Referenzmodell (»Framework«), das Unter nehmen eine
methodische Unterstützung bietet, um IT-Ressourcen (d.h. An wen dungen,
Informationen, IT-In fra struk tur und Per so nal) für die Er reichung von Wettbewerbsvor
teilen zu nutzen (nach [ITGI 2005, S. 12]). Seit 1993 wurde COBIT vom inter natio
nalen Prü fungs verband ISACA (Infor ma tion Sys tems Audit and Control Associa
tion) ent wickelt und erst mals Ende 1995 ver öffent licht. Aktuell liegt COBIT in
der Version 4.1 vor (die deut sche Aus gabe in der Version 4.0). Die erste Version
von COBIT legte den Schwer punkt auf sogenannte Kontroll ziele und adres sier te
damit vor allem die Arbeit von Wirtschaftsprüfern. Im Ver lauf der letz ten Jahre
ent wickelte sich COBIT zunehmend zum Manage ment ins tru ment, mit dem die
IT nicht nur nach gelagert geprüft, sondern auch proaktiv ge stal tet wer den kann.
COBIT berück sichtigt wich tige Normen und Standards (z.B. ITIL, CMMI, ISO/IEC
17799) und kann auf grund seiner über ge ordneten Ma nage ment- und Steuerungs
sicht als Inte gra tor die nen, wenn ein Unternehmen diese Nor men und Standards
gleich zeitig nut zen will (vgl. [ITGI 2005, S. 197]).

26 Management der IT-Compliance
Management der IT-Compliance
Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die
heu te fast durchgängige IT-Unter stützung aller Unternehmensprozesse
sind Compliance-Anfor derun gen nicht mehr lediglich auf steuerliche oder
daten schutzrechtliche Belange be grenzt. Vielmehr geht es darum, dass
die gesamte geschäftliche Tätigkeit eines Unternehmens »com pliant« mit
verschiedensten Rege lungen sein muss. Um den diversen Transparenz-,
Prozess-, Nach weis- und Kontroll an for de rungen nachzukommen, sind
Maßnahmen zu er grei fen, die letzt lich Auswirkungen bis auf jeden einzelnen
Arbeitsplatz haben.
Hierbei gilt es vor allem die Com pliance-Anforderungen der ver schiedenen
Regelwerke aufeinander ab zustimmen, um Doppelarbeit zu vermeiden.
Insofern bilden die Identifizie rung von Compliance-relevanten
Regelwerken sowie die Ab leitung und Doku men ta tion der Compliance-
Anforderungen, die vom Unter nehmen mit ggf. unter schied licher Priorität
einzu halten sind, den ersten und wich tigsten Auf gaben bereich eines
Manage ments der IT-Com pliance (vgl. [Klotz 2007, S. 17], Abb. 8(1)).
Weitere Auf gabenbereiche sind:
■ die Schaffung einer betrieblichen Organisation von Prozessen,
Verfah rens rege lungen, Delegationen und (möglichst weitgehend
automa ti sier ten) Kontrollen zur Über wachung der Einhaltung aller
Anforderungen der IT-Compliance (Abb. 8(2));
■ die Information aller in irgendeiner Form im Hinblick auf die beste
hen den Ver pflichtungen handelnden Betriebsangehörigen und
ggf. ent spre chend ein gesetzter Dritter über die einzuhaltenden
Regelungen (Abb. 8(3));
■ die Dokumentation sowohl der Information als auch der Organisation
und insbe son dere deren Überwachung (Abb. 8(4));
■ die Einrichtung eines Change-Managements zur Reaktion auf
neue Ent wicklungen der Anforderungen, z.B. innerhalb der aktuellen
Recht spre chung oder erkannter Compliance-Schwach stellen
und -Risiken (Abb. 8(5)).

Management der IT-Compliance 27
Die ablauforganisatorische Gestaltung dieser Aufgaben führt zu den
wesent lichen IT-Compliance-Prozessen, die den Kern eines Managementsystems
für IT-Compliance bilden (s. Abb. 8).
Aufgaben-
und
Verant-
wortungs-
teilung
IT-
Compliance-Ziele
� Erfüllung von Vorgaben
� Steigerung des Wertbeitrags der IT
� Erhöhung der IT-Qualität
� …
GRC-Koordination
(1) (2) (3) (4) (5)
IT-Compliance-Berichtswesen
Abb. 8 Managementsystem für IT-Compliance
Methoden
und
Tools
Alle Compliance-Aktivitäten haben sich an den Zielen der IT-Compliance
aus zurichten, die sich zwar generell auf die Erfüllung von Vorgaben richten,
aber hinsichtlich der relevanten Re gelwerke sowie der weiteren Zielsetzun
gen unternehmensspezifisch zu kon kre tisieren sind. Maßnahmen
zur Her stellung von IT-Compliance sind mit dem GRC-Management des
Unter nehmens zu koordinieren und durch ein Berichtswesen zu er gänzen,
das die Unternehmensleitung über den Status der Zielerreichung,
Com pliance-Schwach stellen und -Risiken sowie wesentliche Projekte der
IT-Compliance unterrichtet. Zu dem sind die IT-Compliance-Prozesse auf
der Basis einer festgelegten und kommuni zier ten Aufgaben- und Ver ant -
wortungsteilung aus zuführen und durch Methoden und Tools zu unterstützen.

28 Ausblick
Ausblick
IT-Compliance zeigt sich im Vor han den sein und Funktionieren spe zi fischer
in for mations- und kom munikations tech ni scher Einrich tun gen, im
Vorliegen von Not fallplänen, System architekturen oder Dokumentationen
von Prüf hand lungen, im kon kre ten Um gang mit Daten und IT-Systemen,
in au to ma tisierten Kontrollen und manuellen Prüfprozeduren,
Zugangs kon zep ten und Sicherheitsklassifizierungen, in der Möglichkeit
eines kurz fris ti gen Daten zugriffs, im Vorhandensein von IT-Richtlinien
und ihrer nachvoll zieh baren Befolgung u.v.a.m. Viele der genannten Objekte,
Mecha nis men und Hand lungen sind jedoch ebenso Gegenstand
eines IT-Risiko- und eines IT-Sicher heitsmanagements. IT-Compliance
steht mit diesen beiden Be rei chen des IT-Managements in engem Zusammenhang,
lässt sich aber den noch nicht auf einen oder beide dieser Bereiche
zurückführen. Die Be fol gung ver bind lich vor gegebener oder selbst
gewählter professioneller Re gel werke wird in der Ge samtheit weder vom
IT-Risiko- noch vom IT-Sicher heits manage ment sicher gestellt.
Im Zentrum eines Managements der IT-Compliance muss das Bemühen
stehen, die Anforderungen der verschiedenen Regelwerke miteinander
abzu stim men, um Komplexität zu reduzieren und Doppelarbeit
zu vermeiden. Erst auf die ser Basis sollten Kontrollen zur Überwachung
der Einhaltung von Compliance-Anforderungen kon zi piert und – wo
möglich – automatisiert wer den. Hierbei soll ten integrierte technische
Lö sun gen eingesetzt wer den. Ansonsten dro hen unkoordinierte Vorgehensweisen
und isolierte Lösun gen, die im Nachgang nur mit ungleich
größerem Aufwand zu inte grie ren sind.
Die aktuelle Herausforderung für Unter neh men besteht darin, die mit
IT-Com pliance ver bundene Verant wor tung zu erfassen und strukturell,
pro zes su al, methodisch und instru men tell um zusetzen. Dies erfordert die
Initiative und den Rückhalt der Unterneh mens leitung – in ihrem eigenen
Interesse.

Literatur
Literatur 29
[BaFin 2006] Bun des an stalt für Finanz dienst leistungsaufsicht (BaFin): Erläuterun
gen zu den Mindestanforderungen an das Risikomanagement (MaRisk),
Fassung vom 04.05.2006, AT 7.2, verfügbar unter: http://www.bundesbank.
de/download/bankenaufsicht/pdf/marisk/060504_erl.pdf
(Zugriff am 02.01.2009).
[Bitkom 2005] Bundesverband Informationswirtschaft, Telekommunikation und
neue Medien e.V.: Matrix der Haftungsrisiken – IT-Sicherheit, Pflichten und
Risiken. April 2005, verfügbar unter: http://www.bitkom.org/de/themen_
gremien/36737_31034.aspx (Zugriff am 02.01.2009).
[Böhm 2008] Böhm, Markus: IT-Compliance als Triebkraft von Leistungssteigerung
und Wert bei trag der IT. In: HMD – Praxis der Wirtschafts infor matik,
2008, Jg. 45, Heft 263, S. 15-29.
[Bücking 2007] Bücking, Jens: »Compliance« in Privat wirt schaft und öffentlicher
Ver waltung, ins be sondere bei E-Mails und digitalen Dokumenten: Rechtsfragen
der Archi vie rung und Beweisverwertbarkeit, White paper, herausgegeben
von Fujitsu Siemens Com pu ters, März 2007.
[Hauschka 2007] Hauschka, Christoph E.: § 1, Einführung. In: Hauschka,
Ch. E. (Hrsg.): Corporate Compliance – Hand buch der Haftungsvermeidung
im Unter nehmen. Beck, München, 2007, S. 1-25.
[IIR 2003] IIR – Deutsches Institut für Interne Revision: Compliance-Organisation
und Wert papierdienstleistungsgeschäft – Revisionsleitfaden für
Wertpapier dienst leister. IIR Schriftenreihe 35, Erich Schmidt, Berlin, 2003.
[ITGI 2005] IT Governance Institute (ITGI): COBIT 4.0, Deutsche Ausgabe,
Rolling Meadows: ITGI 2005, verfügbar unter: http://www.isaca.at/Ressourcen/
CobiT% 204.0%20Deutsch.pdf (Zugriff am 02.01.2009).
[Johannsen & Goeken 2007] Johannsen, Wolfgang; Goeken, Matthias: Referenzmodelle
für IT-Governance – Strategische Effektivität und Effizienz mit
COBIT, ITIL & Co. dpunkt.verlag, Heidel berg, 2007.
[Klotz 2007] Klotz, Michael: IT-Compli ance – auf den Kern reduziert.
In: IT-Gover nance, 2007, Jg. 1, Heft 1, S. 14-18.
[Klotz & Dorn 2005] Klotz, Michael; Dorn, Dietrich-W.: Controlling von IV-Beschaffungsverträgen
– Bedeutung, Ziele und Aufgaben. In: HMD – Praxis
der Wirt schaftsinformatik, 2005, Jg. 42, Heft 241, S. 97-106.

30 Literatur
[Klotz & Dorn 2008] Klotz, Michael; Dorn, Dietrich-W.: IT-Compliance – Begriff,
Um fang und rele van te Re gelwerke. In: HMD – Praxis der Wirtschafts informatik,
2008, Jg. 45, Heft 263, S. 5-14.
[LG München I 2007] Landgericht München I, Urteil vom 05.04.2007 –
5 HKO 15964/06.
[Meyer et al. 2003] Meyer, Matthias; Zarnekow, Rüdiger; Kolbe, Lutz M.:
IT-Governance – Begriff, Status quo und Bedeutung. In: Wirtschaftsinformatik,
2003, Jg. 45, Nr. 6, S. 445.
[Michels & Krzeminska 2006] Michels, Thomas; Krzeminska, Anna: Sarbanes-
Oxley Act und Six Sigma als Instru men te des Prozess-Controllings bei der
AXA Konzern AG. In: v. Werder, A.; Stöber, H.; Grundei, J. (Hrsg.): Or ganisations-Controlling
– Konzepte und Praxisbeispiele. Gabler, Wiesbaden,
2006, S. 135-151.
[Neundorf 2007] Neundorf, Lutz: Daten schutz. In: Hauschka, Ch. E. (Hrsg.):
Cor po rate Com pliance – Handbuch der Haftungsvermeidung im Unternehmen.
Beck, München, 2007, S. 593-612.
[OLG Hamm 2003] Oberlandesgericht Hamm, Urteil vom 01.12.2003,
13 U 133/03.
[Teubner & Feller 2008] Teubner, Alexander; Feller, Tom: Informationstechnologie,
Gover nance und Compliance. In: Wirtschaftsinformatik, 2008, Jg. 50,
Nr. 5, S. 400-407.
[Weill & Woodham 2002] Weill, Peter; Woodham, Richard: Don’t Just Lead,
Govern: Implementing Effective IT Governance, CISR Working Paper
No. 326, MIT, Center for Infor ma tion Systems Research November 2002,
p. 1, verfügbar unter: http://mitsloan.mit.edu/cisr/papers.php (Zugriff am
02.01.2009).

Kompetenz,
über die man spricht.
Qualifi zieren Sie sich mit dem Dual-Zertifi kat der
Frankfurt School of Finance & Management und der
ISACA. Informieren Sie sich über die Möglichkeiten,
wie IT-Governance Eingang in die betriebliche Praxis
fi nden kann.
� IT-Alignment, IT-Compliance
� Wertbeitrag der IT
� IT-Risikomanagement
� IT-Governance mit COBIT
� Service- und Sicherheitsmanagement
� Frameworks im COBIT-Umfeld
(CMMI, VAL IT, PMBOK)
� Ergänzende Methoden und weitere Entwicklungen
Investieren Sie in Ihre Zukunft.
Buchen Sie jetzt Ihre Teilnahme.
Weitere Informationen: Tel. 069 154008-184
www.frankfurt-school.de/it-governance

� �����������
�������������������������������
� � � � �����������������
����������
�����������������������
���������������������
�������������������
���������
���������������������
����������������������
�������������������������
�����������������������������
��������������������������
���������������
�
������������������������
��������������������������
������������������������������
������������������������������
����������������������������
�������������������������������
�����������������������������
�����������������������������
������������������������
���������������������
������������
�����������
��������
������������������������������������������������
�������������������������������������������������������������������

WIE ERFAHREN SIE MEHR?
Wenn Sie mit Systementwicklung, Systemsicherheit,
Qualitätskontrolle oder dem Betrieb oder der Überwachung
einer Computerinstallation zu tun haben oder dafür
verantwortlich sind, werden Sie bestimmt von ISACA
profitieren.
Weiteres erfahren Sie unter:
Internet: www.isaca.de
sowie unter www.isaca.org
Vereinsadresse: ISACA German Chapter e.V.
Postfach 18 03 99
60084 Frankfurt | Main
E-Mail: webmaster@isaca.de
Berufsverband der
IT-Revisoren &
IT-Sicherheits-Manager

Know-how für IT-Profis – Zeitschriften im dpunkt.verlag
�����������������������������������������������������������
�������������
�������������
������������������������������������������
��������������������������
�����������������������������������������
�������������������
�����������������������������������������������
��������������������
������������������������������ ������������
Heft 6 | November 2008 | 3. Jahrgang | ISSN 1861-9258 | http://itsm.dpunkt.de
Heft 6 | November 2008 | 3. Jahrgang | ISSN 1861-9258 | http://itsm.dpunkt.de
�Veränderungsmanagement
Veränderungsmanagement
� CITIL = CMMI+ITIL
� Service-Desk 2.0
� IT-Serviceorientierung
� Lizenzmanagement
itSMF
������������� IT Service Management Forum Deutschland e.V.
HMD
Heft 263
Oktober 2008
dpunkt.verlag
IT-Governance
IT-Governance ist das offizielle
Organ des German Chapter of
»The Information System Audit
and Control Association« e.V.
(ISACA)
Erscheinungsweise:
2 Ausgaben pro Jahr
ISSN: 1864-6557
Zeitschrift des itSMF Deutschland e.V.
Praxis der
Wirtschaftsinformatik
Knut Hildebrand . Stefan Meinhardt (Hrsg.)
���������� �
���� ����������
Û Wertbeitrag von IT-Compliance
Û Information Lifecycle Management
Û Automatisierung von Compliance
Û Compliance Reporting
Û IT-Outsourcing
Û IT-Compliance im Mittelstand
Û Zugriffs- und Zugangskontrollen
Û SAP GRC Risk Management
� ����� � ���� ��������� � ���� �����������������
it-Service-Management
it-Service-Management ist das
offizielle Organ des IT Service
Management Forum (itSMF)
Deutschland e.V.
Erscheinungsweise:
2 Ausgaben pro Jahr
ISSN: 1861-9258
� ������ ������
HMD – Praxis der
Wirtschaftsinformatik
HMD richtet sich an Fach- und
Führungskräfte in der IT, im
Software Engineering und an
alle, die Wirtschaftsinformatik
praxisnah studieren wollen.
Erscheinungsweise:
6 Ausgaben pro Jahr
ISSN: 1436-3011

Georg Herzwurm
Wolfram Pietsch
Management
von IT-Produkten
Geschäftsmodelle, Leitlinien und
Werkzeugkasten für software intensive
Systeme und Dienstleistungen
2009, 388 Seiten
€ 42,00 (D)
ISBN 978-3-89864-562-1
Martin Kütz
Kennzahlen in der IT
Werkzeuge für Controlling
und Management
3., überarbeitete und
erweiterte Auflage
2009, 364 Seiten,
€ 42,00 (D)
ISBN 978-3-89864-579-9
Wolfgang Johannsen
Matthias Goeken
Referenzmodelle für
IT-Governance
Strategische Effektivität
und Effizienz COBIT,
ITIL & Co
2007, 280 Seiten
€ 44,00 (D)
ISBN 978-3-89864-397-9
Gerd Nicklisch
Jens Borchers
Ronald Krick
Rainer Rucks
IT-Near- und -Offshoring
in der Praxis
Erfahrungen und Lösungen
2008, 308 Seiten
€ 42,00 (D)
ISBN 978-3-89864-533-1
dpunkt.it-business

dpunkt.it-business
Christoph Zahrnt
IT-Projektverträge:
Rechtliche
Grundlagen
2008, 432 Seiten,
€ 49,00 (D)
ISBN 978-3-89864-474-7
Frank R. Lehmann
Integrierte
Prozessmodellierung
mit ARIS®
2008, 246 Seiten
€ 32,00 (D)
ISBN 978-3-89864-497-6
Christoph Zahrnt
IT-Projektverträge:
Erfolgreiches
Management
2009, 334 Seiten,
€ 39,00 (D)
ISBN 978-3-89864-560-7
Christian Setzwein
Monika Setzwein (Hrsg.)
Turnaround-
Management von
IT-Projekten
Krisen meistern, neue
Stärken gewinnen
2008, 314 Seiten
€ 42,00 (D)
ISBN 978-3-89864-439-6

Michael Klotz
IT-Compliance
IT-Compliance ist eines der zentralen Themen der IT-Governance. Die ständige
Zunahme an Regelwerken (Gesetze, Verordnungen, Normen, Standards,
Verträge, Richtlinien etc.) auch für die IT führt für Unternehmen aller Größenordnungen
zu einer Intransparenz der zu beachtenden Regeln. Hieraus resultiert
u.a. eine beträchtliche Unsicherheit in Bezug auf die Risiken potenzieller
Regelverstöße. Zielsetzung der IT-Compliance ist es, derartige Risiken durch
Sicherstellung der Befolgung von Compliance-Anforderungen zu vermeiden.
Diese Broschüre liefert Ihnen einen Überblick über alle Aspekte der IT-Compliance.
Sie zeigt den Zusammenhang zwischen IT-Compliance, IT-Governance
und IT-Risikomanagement auf, sodass Sie den Nutzen von IT-Compliance für
Ihr Unternehmen besser einschätzen können. Darüber hinaus werden die
relevanten Regelwerke erläutert, die eine Einhaltung der wichtigen Vorgaben
nachweislich sicherstellen. Auf dieser Basis kann ein Compliance-Management
für die IT etabliert werden, das die verschiedenen beteiligten Personen
und Gruppen im Unternehmen einbezieht und koordiniert.
Art.-Nr.: 077.95730
www.dpunkt.de