IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Unternehmen müssen immer mehr gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen. Bei Rechtsverletzungen stehen CIOs oder IT-Compliance-Beauftragte mit einem Bein im Gefängnis. Doch zu viel Kontrolle gefährdet die Effizienz von Geschäftsprozessen. ZDNet zeigt, wie sich die Gratwanderung meistern lässt.

Bespitzelung bei der Telekom^[1], Datenskandal bei der Bahn^[2], Überwachung der Mitarbeiter bei Lidl oder die Korruptionsaffäre bei Siemens^[3] - die Skandale in deutschen Unternehmen machten weltweit Schlagzeilen. In letzter Zeit häufen sich auch die Berichte von verlorenen oder gestohlenen Daten^[4]. Prominentes Beispiel sind die Angebote mit CDs von Steuersündern.

Alle diese Fälle haben eines gemeinsam: den Verstoß gegen Compliance^[5]. Ganz allgemein gefasst bedeutet Compliance, dass Unternehmen die Einhaltung von gesetzlichen Vorgaben sicherstellen und überwachen sowie sich selbst dazu verpflichten, eigene Richtlinien zu befolgen. Diese Regeln sollen den Missbrauch von vertraulichen Daten, daraus folgende mögliche Schadenersatzklagen^[6] und einen Imageschaden des Unternehmens abwehren. Was in der Theorie gut klingt, ist in der Praxis schwer umzusetzen - wird aber für immer mehr Unternehmen unumgänglich.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, erinnert sich nicht gerne an die Zeit, in der die Staatsanwälte bei dem Konzern ein- und ausgingen. "Die öffentliche Aufmerksamkeit war sehr hoch, deutsche und US-amerikanische Behörden ermittelten parallel." Daher entwickelte die IT-Abteilung unter seiner Federführung ein internes Kontrollsystem, für das sich mittlerweile auch andere Unternehmen interessieren.

"Maschineller Kamm" gegen Regelverstöße

Das von Siemens entwickelte System führt große Datenmengen aus Hunderten von ERP-Systemen (SAP und viele andere) in einer zentralen Sammelstelle zusammen, ordnet sie der entsprechenden Businessfunktion zu und analysiert sie automatisiert. "Wir untersuchen mit Hilfe der IT jeden Tag rund zehn Millionen Transaktionen darauf, ob sie den gesetzlichen Vorgaben sowie den internen Richtlinien entsprechen", so Brauer. "Es handelt sich dabei um eine Art maschinellen Kamm, der Auffälligkeiten herausfiltert. Das gilt natürlich nicht für personenbezogene Daten."

Im System sind die Regelwerke definiert (zum Beispiel darf ein Besteller keine Rechnung freigeben) und automatisch dem entsprechenden Verantwortlichen oder Geschäftsbereich zugeordnet. Die Informationen laufen in verschiedenen Dashboards zusammen, zum Beispiel im CIO-Dash für IT-Fragen, im CFO-Dash für Finanzfragen. Auffälligkeiten werden gemeldet, klassifiziert, etwa nach Höhe des Risikos oder der Reaktionszeit, und dann an die Verantwortlichen weitergeleitet. Diese sind ihrer Rolle entsprechend mit Kontrollrechten ausgestattet.

Reagiert der zuständige Mitarbeiter nicht innerhalb einer bestimmten Frist, wird der Vorgang automatisch an den nächst höheren Vorgesetzten weitergeleitet - theoretisch bis zum Vorstand. Auch die interne und externe Revision nutzen die Kontrollergebnisse des Systems bei der Prüfung, ob alle Vorgänge regelkonform ablaufen. "Die IT macht die Auffälligkeiten transparent und schafft einen Mehrwert, da sie die Umsetzung von Compliance massiv unterstützt", sagt Brauer.

Im Fall Siemens handelt es sich um sogenannte IT-gestützte Compliance. "Darunter versteht man den Einsatz von Soft- und Hardware, mit deren Hilfe sich die Einhaltung von Regelwerken sicherstellen lässt. Die IT dient damit als Mittel zum Erreichen von Compliance", erklärt Professor Michael Klotz, vom Stralsund Information Management Team (SIMAT^[8]) an der FH Stralsund, der einen Leitfaden rund um IT-Compliance verfasst hat.

IT-Compliance bezeichne demgegenüber "einen Zustand, in dem alle für die IT des Unternehmens relevanten Vorgaben nachweislich eingehalten werden". Dabei sei es unerheblich, ob die IT-Leistungen unternehmensintern oder (teilweise) durch externe IT-Dienstleister erbracht werden. Bei dieser Sichtweise von IT-Compliance stellen sich laut Klotz folgende Fragen:

• Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
• Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anforderungen sind von ihnen zu erfüllen?
• Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter Compliance der IT?
• Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?
• Welche technischen, organisatorischen und personellen Maßnahmen sind für die Gewährleistung von IT-Compliance zu ergreifen?

Die letzte Frage zeigt, dass beide Sichtweisen notwendig sind, um allgemeine Compliance und IT-Compliance im Speziellen zu erreichen. Denn im Ergebnis liegt auch IT-gestützte Compliance vor. "Die derart geschaffene Automatisierung von Compliance ist die einzige Möglichkeit, die Vielzahl heutiger Anforderungen zu erfüllen. Dies gilt insbesondere für die kontinuierliche Überwachung des IT-Betriebs auf Compliance-Verstöße", betont Michael Klotz.

IT-Compliance wird immer wichtiger, da kein Unternehmen heutzutage ohne IT und digitale Abläufe funktioniert. Die meisten Informationen fließen elektronisch, auch im Austausch mit internationalen Standorten, Partnern und Kunden. "IT bildet mittlerweile die Basis vieler Geschäftsprozesse, zudem fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Es darf keine Rechtsverstöße geben. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen", sagt Markus Gaulke^[9], Senior Manager im Bereich Advisory Information Risk Management bei der Wirtschaftsprüfungsgesellschaft KPMG^[10].

Er berät Unternehmen dabei, wie sie gesetzliche Vorgaben - etwa das erneuerte Bundesdatenschutzgesetz^[11], Basel II^[12] oder das Bilanzmodernisieriungsgesetz^[13]) - in interne Richtlinien umsetzen und wie sie die (IT)-Prozesse gestalten können, um diese Anforderungen einzuhalten sowie deren Einhaltung auch zu dokumentieren.

Als Vorstandsmitglied im German Chapter des internationalen IT-Prüfungsverbands Isaca^[14] und Autor des Buches "Praxiswissen Cobit, Risk IT und Val IT^[15]" engagiert er sich zudem intensiv für IT-Compliance auf Basis eines Referenzmodells wie Cobit^[16]. Ziele des Verbandes sind es, das Thema in die Öffentlichkeit zu bringen sowie die Ausbildung zum IT Compliance Manager zu standardisieren und zu fördern.

Denn Großunternehmen wie Siemens, die Deutsche Telekom oder die Deutsche Bank haben heute eigene Abteilungen und (IT-)Compliance-Manager, welche die Einhaltung aller Vorgaben überwachen. Die Manager und Mitarbeiter haften teilweise persönlich^[17] für Rechtsverstöße, sei es zivilrechtlich (Schadensersatz), arbeitsrechtlich (Abmahnung, Kündigung) oder strafrechtlich (Geld- oder Freiheitsstrafe).

"Der IT Compliance Manager muss bei den Mitarbeitern ein Bewusstsein für Compliance schaffen und ihnen erklären, warum diese so wichtig ist. Zudem ist es seine Aufgabe, Prozesse einzurichten die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen", so Gaulke. Dazu gehören auch Stichproben und Kontrollsysteme. Doch IT-Compliance ist für Gaulke mehr als IT-Sicherheit und Datenschutz nach gesetzlichen und unternehmensinternen Vorgaben. Weitere Aspekte sind für ihn Archivierung und Datensicherung, die Regelung der Informationssicherheit und der Mitarbeiterrechte bei Telefon, E-Mail und Internet, dem Urheberrecht sowie beim Lizenzmanagement.

Eine wichtige Rolle im Rahmen von IT-Compliance beziehungsweise IT-gestützter Compliance schreibt Markus Gaulke den Freigabeprozessen in der IT oder den Fachbereichen zu: "Je größer das Risiko von bestimmten Geschäftsprozessen ist, umso mehr Freigabeschritte sind notwendig. Bei Standard-Freigaben sollte der Prozess schlanker sein, um die Effizienz nicht zu vermindern."

Der KPMG-Mann thematisiert hier den schmalen Grat, auf dem Compliance wandelt - dem zwischen zu viel und zu wenig Kontrolle. Denn übertreibt ein Unternehmen die Einhaltung der gesetzlichen Vorgaben und überwacht seine Geschäftsprozesse zu intensiv, leidet die Effizienz und die Mitarbeiter fühlen sich gegängelt. Achten die Unternehmen zu wenig auf Compliance, riskieren sie oder ihre leitenden Mitarbeiter Bestrafung und Imageverlust.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, rät daher zu Augenmaß: "Weniger ist manchmal mehr. Unternehmen sollten Compliance nicht übertreiben, sondern sich auf die wesentlichen Dinge konzentrieren. Und dazu gehören ein Kulturwandel, der ausschließlich saubere Geschäfte zulässt, und entsprechende klare Botschaften der Unternehmensspitze. IT-Tools können helfen, die Vorgaben im Detail intelligent umzusetzen und dem einzelnen Mitarbeiter den Arbeitsalltag sicher und bequem zu gestalten. Denn automatisierte Abläufe in der IT gestalten Kontrollprozesse wesentlich effizienter."

Professor Klotz von der FH Stralsund empfiehlt Unternehmen, die Compliance-Risiken zu betrachten und Compliance eng mit Risikomanagement zu verzahnen. Die Frage laute: "Welche Risiken hat ein Unternehmen, wenn es die Compliance-Vorgaben nicht komplett einhält?" Klotz skizziert dazu ein Beispiel: Die Strafe für ein Compliance-Vergehen beträgt 50.000 Euro, die Implementierung eines IT-Prozesses, der diesen Compliance-Verstoß verhindern würde, jedoch 200.000 Euro. "Die Risikoabwägung sorgt hier garantiert für Konflikte im Unternehmen. Der Kaufmann sagt nein zur Installation des Systems, der Jurist unbedingt ja." Was ist also tun? Diese Frage muss jedes Unternehmen für sich selbst entscheiden.

URLs in diesem Artikel:
[1] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_bespitzelung_telekom_chef_plant__harte_konsequenzen_story-39001020-39191245-1.htm
[2] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_deutsche_bahn_akzeptiert_millionenstrafe_im_datenskandal_story-39001020-41516325-1.htm
[3] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_siemens_droht_ex_chef_von_pierer_mit_milliardenstrafe_story-39001020-41503123-1.htm
[4] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_website_von__projekt_datenschutz__ist_live_story-39001020-41502504-1.htm
[5] = http://www.zdnet.de/artikel_zum_thema_compliance_thema-39002356-39000942o0o0-1.htm
[6] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_siemens_aktionaere_fordern_schadenersatzklage_gegen_exmanager_story-39001020-41516051-1.htm
[7] = http://www.zdnet.de/galerie/41006167/it-sicherheit-und-compliance-im-mittelstand.htm#sid=41530834
[8] = http://www.simat.fh-stralsund.de/
[9] = http://www.markus-gaulke.de/
[10] = http://www.kpmg.de/
[11] = http://www.zdnet.de/it_business_strategische_planung_was_sich_durch_das_neue_bundesdatenschutzgesetz_aendert_story-11000015-41502020-1.htm
[12] = http://de.wikipedia.org/wiki/Basel_II
[13] = http://de.wikipedia.org/wiki/BilMoG
[14] = http://www.isaca.de/
[15] = http://www.buchhandel.de/detailansicht.aspx?isbn=978-3-89864-655-0
[16] = http://de.wikipedia.org/wiki/CobiT
[17] = http://www.zdnet.de/it_business_strategische_planung_bgh_compliance_officer_haften_persoenlich_story-11000015-41516065-1.htm