• Increase font size
  • Default font size
  • Decrease font size
Start IT-Compliance

IT-Compliance

E-Mail

IT - Compliance

Das Thema Compliance und abgeleitet hieraus auch IT-Compliance ist in aller Munde. Wir wollen an dieser Stelle aufhellen, warum dem so ist und Ihnen hilfreiche Informationen und Tips zum Thema IT-Compliance aus der Praxis geben.

Die Tatsache, daß sich sowohl große als auch kleine Unternehmen an Gesetzen, Vorgaben und Richtlinien, z.B. Im Sinne von Haftungsfragen oder Datenschutzgesetzen halten müssen, ist natürlich keinesfalls neu. Das Schlagwort IT-Compliance ist denn auch eine Wortschöpfung bzw. ein Schlagwort der Neuzeit, welches insbesondere im Kontext der “Banken- und Versicherungsregulation” durch die BaFin (Bundesanstalt für Finanzendienstleistungsaufsicht) einen entsprechenden Stellenwert und somit auch gesteigerte Aufmerksamkeit erhalten hat.

Mit den sog. MaRisk (Mindestanforderungen an das Risikomanagement) sowohl für den Banken- als auch den Versicherungssektor, gibt es umfangreiche Vorgaben für Banken und Versicherungen, die es sowohl im Business-Sektor als auch durch die IT umzusetzen und zu controllen gilt. Die Einhaltung der MaRisk wird durch die BaFin selbst und auch die Wirtschaftsprüfer entsprechend nachgehalten.


Definition

"IT-Compliance umfaßt die Einhaltung und Kontrolle aller ein Unternehmen betreffenden regulatorischen, rechtlichen und sonstigen Anforderungen"


it-compliance
IT-Compliance – das Wissen um und das Beherrschen von Unternehmensvorgaben
(Foto: ©Gerd Altmann, Pixelio)


Organisation, Prozesse

In der Praxis besteht IT-Compliance im wesentlichen aus den folgenden "Bausteinen":

a.)    Organisatorische Ausgestaltung und Verantwortlichkeit für (IT-)Compliance

Eine “dezentrale Selbstverwaltung” von Compliance – Anforderungen ist unbedingt auszuschließen. Wichtigster Baustein zur Sicherstellung von (IT-)Compliance ist zuerst einmal die Definition von Funktionen, Verantwortlichkeiten, organisatorischer Einordnung, sowie Abgrenzung und Zusammenarbeit zwischen einzelnen Querschnittsfunktionen (z.B. Compliance, Revision, Risikomanagement, IT-Sicherheit, Datenschutz, IT-Risikomanagement).

Es gibt, abhängig von der Unternehmensstruktur und -Philosophie, die unterschiedlichsten Ansätze und Selbstverständnisse, wie IT-Compliance in einem Unternehmen etabliert und “gelebt” werden soll. Das Thema IT-Compliance muss sowohl funktionell, organisatorisch als auch personell zuerst einmal stringent konzeptioniert werden. Hierbei ist es wichtig, dass man das Thema IT-Compliance in einen ganzheitlich konzeptionellen Kontext fasst (von Governance über IT-Governance, Compliance hin zu IT-Compliance).

In vielen Banken- und Versicherungen werden Governance- und Compliance - “Themen” oft bereits bestehenden Funktionen zugeordnet. Ein Beispiel hierfür wäre z.B.

Risikomanagement;
(u.a. verantwortlich für die Definition und Einhaltung von Governance und Compliance)

IT-Risikomanagement
(u.a. auch verantwortlich für die Definition und Einhaltung von IT-Governance und IT-Compliance)

Die BaFin verlangt bei den o.g. Verantwortlichkeiten eine sog. Funktionstrennung. Das bedeutet, dass z.B. Ein IT-Risikomanager nicht gleichzeitig auch für die IT-Sicherheit verantwortlich sein sollte und dass z.B. ein Risikomanager nicht parallel noch im Controlling mitarbeitet. Es spricht jedoch grundsätzlich nichts dagegen, die naheliegenden Themen wie Governance und Compliance einer bestehenden Funktion in sinnvoller Weise zuzuordnen. Andere Unternehmen wiederum schaffen für die Themen (IT-)Governance, - Compliance und – Risikomanagement eigene Stellen.
Wenn man dies so tut, dann muss im Vorfeld von Anfang an klar sein, wie die Funktionebereiche sich mit ihren definierten Aufgabenfeldern abgrenzen und wie diese zusammenarbeiten!

Die einzelnen Prozesse müssen im Sinne der Gesamtheit ineinandergreifen und aufeinander abgestimmt werden. In jedem Fall zu berücksichtigen ist, dass bei der Konzeption eines IT-Compliance-Managements alle Querschnittsfunktionen beteiligt werden müssen. Nur wenn ein gemeinsames und einheitliches Verständnis von IT-Compliance und der Ausgestaltung der Funktion vorhanden ist, kann dies auch erfolgreich etabliert werden. Folglich umfaßt ein Projekt zur „Etablierung“ von IT-Compliance auch zwingend das Involvieren aller Querschnittsfunktionen!


b.)    Installation von IT-Compliance - Prozessen und Awareness

Prozesse, bei denen es darum geht festzustellen, ob man in einzelnen Organisationsbereichen und Prozessen „compliant“ ist, sind keinesfalls statisch sondern unterliegen einer großen Dynamik. Dies ist insofern einfach zu erklären, als das man nach einer IT-Compliance-Prüfung der aktuellen IT-Organisation und -Infrastruktur lediglich eine IST-Bestandsaufnahme zur Compliance erhält.

Mit jedem neuen Projekt, ob es um die Einführung einer neuen Anwendung oder eines Systemes geht, oder z.B. um die Auslagerung eines Prozesses (Outsourcing), müssen diese im Bezug auf die Compliance geprüft werden. Die Gewährleistung von IT-Compliance ist ein dynamischer Prozess, dessen stringente Einhaltung durch entsprechende Prozesse und Kontrollen kontinuierlich gewährleistet werden muss.

Das Initiieren dieser Prozesse hat auch in großem Maße damit zu tun, dass ein entsprechendes Bewußtsein im Unternehmen über das Thema ( IT-)Compliance vorherrscht! Es muss vom Vorstand bis zum operativen Unterbau bewußt sein, wie wichtig Compliance ist und das es elementar ist, das bei Änderungen in der Organisation oder Prozesslandschaft der Aspekt Compliance geprüft werden muss.

Bei Banken und Versicherungen sind derartige Prozesse, die auch die Prüfung von Compliance-Aspekten beinhalten, fast immer bereits implementiert. Im Zuge von jährlichen Risikoinventuren und dynamischen Risikoanalsen, bei Veränderungen der Prozesslandschaft, sollten natürlich auch immer die Compliance-Aspekte mit geprüft werden (Risiko unzureichender oder nicht erfüllter Compliance). Gleiches sollte grundsätzlich auch für die IT von Banken und Versicherungen gelten. Auch hier sollte es kontinuierliche IT-Risikoinventuren, wie auch dynamische IT-Risikoanalysen geben, wenn es in Prozessen, Anwendungen oder Systemen zu Veränderungen kommt.

In den Banken- und Versicherungsunternehmen, in denen derartige Prozesse bereits etabliert sind, gilt es dann ggf. nur noch das Thema „Berücksichtigung von (IT-)Compliance-Anforderungen" noch stärker zu fokussieren (wenn dies nicht sowieso schon in entsprechender Qualität erfolgt).

Wenn Sie gerade dabei sind, das Thema IT-Compliance in Ihrem Unternehmen organisatorisch auszugestalten, dann sollten Sie darauf achten, dass an dieser Stelle kein organisatorischer Overhead entsteht. In jedem Fall ist es ratsam, wenn nicht schon gegeben, neben den Disziplinen wie IT-Revision, IT-Sicherheit auch ein IT-Risikomanagement zu etablieren, welches auch die Definition und Einhaltung von Compliance im Zuge von IT-Risikoanalysen in einem kontinuierlichen Prozess gewährleistet.


c.)    Kenntnis der IT-Compliance-Anforderungen an ein Unternehmen

Es muss (an einer zentralen Stelle) bekannt sein, welche IT-Compliance Anforderungen existierten. Dies hängt im wesentlichen von der Unternehmensform-/größe, der entsprechenden Branche (Bank, Versicherung, Handel, etc.) und dem Wirkungskreis des Unternehmens ab (national, europaweit, internatioanal).

Das Zusammentragen der für ein Unternehmen zutreffenden Compliance - Anforderungen kann auf verschiedensten Wegen erfolgen. Viele große Unternehmen besitzen entsprechende Fachabteilungen in denen die jeweiligen Anforderungen gesammelt, dokumentiert und kommentiert werden können. Dies sind z.B. die Rechtsabteilung, Revision, der Datenschutz, die IT-Sicherheit, die kaufmännische Leitung. All diese Funktionen sollten vom Grund her wissen, welche Gesetze und Vorgaben für einzelne Unternehmensbereiche existieren. Die einzelnen Compliance-Quellen müssen dann zentral zusammengefaßt, übergordnet auf Vollständigkeit und inhaltliche Korrektheit geprüft werden. Ggf. auch durch entsprechende spezialisierte Dienstleister.

Es sollte in jedem Fall ein zentrales Dokument bzw. Auch Datenbasis geben, in der alle Compliance-Anforderungen mit entsprechendem Bezug auf betroffene Bereiche, Prozesse, Systeme oder Anwendungen, verfügbar sind.  Bei den zu etablierenden Compliance – Prozessen ist zu berücksichtigen, dass ein entsprechendes kontinuierliches Controlling bzw. Überwachen von neuen Compliance – Anforderungen erfolgt.

compliance
Nur wer die aktuellen IT-Compliance Anforderungen kennt, ist auf der sicheren Seite
(Foto: ©Gerd Altmann, Pixelio)


Ausblick

In Kürze folgen in diesem Kontext die folgenden IT-Compliance - Themen:

1.)    IT-Compliance im Kontext von Governance, Compliance und IT-Governance

2.)    IT-Compliance Anforderungen (Gesetze, Verordnungen, Standards)


Weiter >
 

Aktuelle News

IT-Compliance Manager
News-IT-Risikomanagement

Weiterlesen...
BaFin MaRisk
News-IT-Risikomanagement

Weiterlesen...
IT-Security Hacking-Angriffe
News IT-Security

Weiterlesen...
Bitkom Studie Security
News IT-Security

Weiterlesen...
Continuity im Mittelstand
News IT Service Continuity

Weiterlesen...
Umfrageergebnis: Budget für IT-Security
News IT-Security

Weiterlesen...
Unternehmen schlecht auf Pandemien vorbereitet
News IT Service Continuity

Weiterlesen...

Surf-Tips

Gartenplanung
Gartenplanung sowie Gartengestaltung in Hannover und Region durch eine versierte Gartenplanerin

Gartenplanung
Dr. Stula & Partner Sachverständige
Sachverständige Stula&Partner

Sachverstaendige